{"id":7823,"date":"2020-08-13T16:49:38","date_gmt":"2020-08-13T21:49:38","guid":{"rendered":"http:\/\/www.syspertec.com.co\/web\/?p=7823"},"modified":"2020-08-13T16:49:57","modified_gmt":"2020-08-13T21:49:57","slug":"atacantes-aprovechan-herramientas-legitimas-en-el-30-de-los-ciberincidentes-exitosos","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/atacantes-aprovechan-herramientas-legitimas-en-el-30-de-los-ciberincidentes-exitosos\/","title":{"rendered":"Atacantes aprovechan herramientas leg\u00edtimas en el 30% de los ciberincidentes exitosos"},"content":{"rendered":"\n

Estudio de Kaspersky revela que 18 programas fueron usados indebidamente para fines maliciosos en 2019. Entre estos se destacan: Powershell, PsExec y SoftPerfect Network Scanner<\/em><\/p>\n\n\n\n

Casi un tercio (30%) de los ciberataques investigados por el equipo de Kaspersky Global Emergency Response<\/em> en 2019 involucr\u00f3 herramientas leg\u00edtimas de control y administraci\u00f3n a distancia. De esta forma, los atacantes pudieron permanecer, sin ser detectados, durante un per\u00edodo de tiempo m\u00e1s largo, espiando o realizando robo de datos confidenciales, con un promedio de duraci\u00f3n de 122 d\u00edas, seg\u00fan el reciente Informe de <\/strong>an\u00e1lisis de respuesta a incidentes<\/strong><\/a> de Kaspersky.<\/strong><\/p>\n\n\n\n

El software de monitoreo y administraci\u00f3n ayuda a los administradores de TI y de redes a realizar sus tareas cotidianas, como son resolver problemas y brindar a los empleados asistencia t\u00e9cnica. Sin embargo, los ciberdelincuentes tambi\u00e9n pueden aprovechar estas herramientas leg\u00edtimas<\/a> durante ciberataques. Una vez dentro de la infraestructura de una empresa, los cibercriminales utilizan este software para acceder y extraer informaci\u00f3n confidencial de manera sigilosa, evitando los controles de seguridad destinados a detectar malware.<\/p>\n\n\n\n

En total, el an\u00e1lisis de datos an\u00f3nimos de casos de respuesta a incidentes (IR, por sus siglas en ingl\u00e9s) mostr\u00f3 que 18 herramientas leg\u00edtimas fueron utilizadas indebidamente para fines maliciosos. Entre estas, la m\u00e1s utilizada fue PowerShell, que apareci\u00f3 en el 25% de los casos y puede ser utilizada para muchos prop\u00f3sitos, desde recopilar informaci\u00f3n hasta la ejecuci\u00f3n de malware. En segundo lugar aparece PsExec<\/a>, una aplicaci\u00f3n de consola dise\u00f1ada para la ejecuci\u00f3n de procesos en endpoints <\/em>remotos,  aprovechada en el 22% de los ataques. Le sigui\u00f3 SoftPerfect Network Scanner<\/a>, cuya funci\u00f3n es recuperar informaci\u00f3n sobre entornos de redes, utilizada en el 14% de incidentes.<\/p>\n\n\n\n

La ejecuci\u00f3n de ataques por medio de herramientas legitimas dificulta la detecci\u00f3n de amenazas para las soluciones de seguridad, pues las acciones relacionadas pueden ser parte de una actividad cibercriminal planificada como de una tarea regular del administrador del sistema. Por ejemplo, en el segmento de ataques que dur\u00f3 m\u00e1s de un mes, el tiempo promedio de los ciberincidentes fue de 122 d\u00edas. Como no fueron detectados, los ciberdelincuentes pudieron recopilar, de manera sigilosa, datos confidenciales de las v\u00edctimas.<\/p>\n\n\n\n

Sin embargo, los expertos de Kaspersky se\u00f1alan que a veces las acciones maliciosas con software leg\u00edtimo se descubren con bastante rapidez, como en los ataques de ransomware, donde los da\u00f1os son percibidos inmediatamente. En estos casos, el tiempo medio de duraci\u00f3n fue de un d\u00eda.<\/p>\n\n\n\n

\u201cPara evitar la detecci\u00f3n y permanecer invisibles durante el mayor tiempo posible en una red comprometida, los atacantes utilizan ampliamente software que ha sido desarrollado para la actividad normal de un usuario, las tareas del administrador y el diagn\u00f3stico del sistema. Con estas herramientas, los atacantes pueden recopilar informaci\u00f3n sobre redes corporativas y luego realizar un movimiento lateral, cambiar la configuraci\u00f3n del software y del hardware o, incluso, llevar a cabo alguna forma de actividad maliciosa. Por ejemplo, podr\u00edan usar software leg\u00edtimo para cifrar los datos de clientes o para pasar desapercibidos por los analistas de seguridad, pues muchas veces estos detectan el ataque solo despu\u00e9s de que el da\u00f1o ya est\u00e1 hecho. No es posible excluir estas herramientas por muchas razones, sin embargo, los sistemas de registro y monitoreo implementados adecuadamente ayudar\u00e1n a detectar actividades sospechosas en la red y ataques complejos en etapas iniciales\u201d,<\/em> comenta Konstantin Sapronov, jefe del Equipo de Respuesta global a emergencias de Kaspersky.<\/strong><\/p>\n\n\n\n

Para detectar y reaccionar a estos ataques r\u00e1pidamente, las organizaciones deben, entre otras medidas, implementar una soluci\u00f3n de detecci\u00f3n y respuesta (EDR) en endpoints <\/em>con un servicio de gerenciamiento de detecci\u00f3n y respuesta (MDR- Managed Detection and Response<\/em>). Una evaluaci\u00f3n de MITRE ATT&CK\u00ae<\/sup> Round 2<\/a>, que examina varias soluciones, incluidas Kaspersky EDR y el servicio Kaspersky Managed Protection, puede ayudar a los clientes a escoger soluciones EDR m\u00e1s adecuadas a las necesidades espec\u00edficas de su empresa. Los resultados de la evaluaci\u00f3n ATT&CK demuestran la importancia de adoptar una soluci\u00f3n integral que combine un producto de seguridad de m\u00faltiples capas totalmente automatizado y un control manual de amenazas.<\/p>\n\n\n\n

Para minimizar las posibilidades de que un software de administraci\u00f3n a distancia se utilice para penetrar en una infraestructura, Kaspersky tambi\u00e9n recomienda las siguientes medidas:<\/p>\n\n\n\n