Casi un tercio (30%) de los ciberataques involucró herramientas legítimas de control y administración a distancia. De esta forma, los atacantes pudieron permanecer, sin ser detectados, durante un período de tiempo más largo, espiando o realizando robo de datos confidenciales, con un promedio de duración de 122 días.
El software de monitoreo y administración ayuda a los administradores de TI y de redes a realizar sus tareas cotidianas, como son resolver problemas y brindar a los empleados asistencia técnica. Sin embargo, los ciberdelincuentes también pueden aprovechar estas herramientas legítimas durante los ciberataques. Una vez dentro de la infraestructura de una empresa, los cibercriminales utilizan este software para acceder y extraer información confidencial de manera sigilosa, evitando los controles de seguridad destinados a detectar malware.
En total, el análisis de datos anónimos de casos de respuesta a incidentes (IR, por sus siglas en inglés) mostró que 18 herramientas legítimas fueron utilizadas indebidamente para fines maliciosos. Entre estas, la más utilizada fue PowerShell, que apareció en el 25% de los casos y puede ser utilizada para muchos propósitos, desde recopilar información hasta la ejecución de malware. En segundo lugar aparece PsExec, una aplicación de consola diseñada para la ejecución de procesos en endpoints remotos, aprovechada en el 22% de los ataques. Le siguió SoftPerfect Network Scanner, cuya función es recuperar información sobre entornos de redes, utilizada en el 14% de incidentes.
La ejecución de ataques por medio de herramientas legitimas dificulta la detección de amenazas para las soluciones de seguridad, pues las acciones relacionadas pueden ser parte de una actividad cibercriminal planificada como de una tarea regular del administrador del sistema. Por ejemplo, en el segmento de ataques que duró más de un mes, el tiempo promedio de los ciberincidentes fue de 122 días. Como no fueron detectados, los ciberdelincuentes pudieron recopilar, de manera sigilosa, datos confidenciales de las víctimas.
Sin embargo, los expertos de Kaspersky señalan que a veces las acciones maliciosas con software legítimo se descubren con bastante rapidez, como en los ataques de ransomware, donde los daños son percibidos inmediatamente. En estos casos, el tiempo medio de duración fue de un día.
Para detectar y reaccionar a estos ataques rápidamente, las organizaciones deben, entre otras medidas, implementar una solución de detección y respuesta (EDR) en endpoints con un servicio de gerenciamiento de detección y respuesta (MDR- Managed Detection and Response). Una evaluación de MITRE ATT&CK Round 2, que examina varias soluciones, incluidas Kaspersky EDR y el servicio Kaspersky Managed Protection, puede ayudar a los clientes a escoger soluciones EDR más adecuadas a las necesidades específicas de su empresa. Los resultados de la evaluación ATT&CK demuestran la importancia de adoptar una solución integral que combine un producto de seguridad de múltiples capas totalmente automatizado y un control manual de amenazas.
Para minimizar las posibilidades de que un software de administración a distancia se utilice para penetrar en una infraestructura, Kaspersky también recomienda las siguientes medidas:
- Limita el acceso a herramientas de administración a distancia desde direcciones IP externas. Asegúrate de que sólo se puedas acceder a las interfaces de control remoto desde un número limitado de endpoints
- Aplica una estricta política de contraseñas para todos los sistemas de TI e implementa la autenticación de varios factores
- Ofrece privilegios limitados al personal y otorga cuentas con privilegios elevados solo a aquellos que lo necesiten para realizar su trabajo
