Los ataques cibernéticos dirigidos difieren de los ataques de hackers masivos en que están dirigidos a una empresa u organización específica. Tales ataques son más efectivos porque se planifican y personalizan utilizando la información recopilada sobre la víctima. Todo comienza con la recopilación de información. Como regla, esta es la parte más larga y laboriosa de la operación. Y luego debes prepararte y realizar un ataque. Desde el exterior, todo parece bastante complicado y parece que solo los crackers de élite pueden hacer esto. Sin embargo, la realidad se ve diferente.
Si
en 2017 la proporción de ataques no dirigidos fue del 90% , y el objetivo fue solo del 9,9%, en 2018 y 2019
hubo un aumento constante de los ataques dirigidos con precisión . Si son tan difíciles de realizar, ¿por qué hay más? ¿Y cómo se llevan a cabo los ataques dirigidos modernos, por qué los hackers cambian de ataques masivos a ataques dirigidos? ¿Por qué la cantidad de incidentes relacionados con grupos cibernéticos conocidos no es tan grande como parece? Vamos a hacerlo bien.
Imagine un grupo de hackers que decidieron atacar una fábrica que produce palillos de dientes rizados para robar el secreto de su producción y venderlo a sus competidores. Considere en qué etapas puede consistir tal ataque y qué herramientas se necesitarán para ello.
Etapa 1. Recolección de información
Los piratas informáticos deben recopilar tanta información como sea posible sobre la planta, su administración y empleados, la infraestructura de red, así como sobre proveedores y clientes. Para hacer esto, los atacantes examinan el sitio de la fábrica y todas las direcciones IP que pertenecen a la empresa utilizando un escáner de vulnerabilidades. Según fuentes públicas, se compila una lista de empleados, se estudian sus perfiles en las redes sociales y los sitios que visitan constantemente. Según la información recopilada, se prepara un plan de ataque y se seleccionan todas las utilidades y servicios necesarios.
Herramientas: escáner de vulnerabilidades, servicios de registro de sitios web, correo electrónico robado y credenciales de sitios web.
Etapa 2. Organización de los puntos de entrada.
Utilizando la información recopilada, los hackers se están preparando para penetrar en la red de la compañía. La forma más fácil es el phishing de correos electrónicos con archivos adjuntos o enlaces maliciosos.
Los delincuentes no necesitan tener las habilidades de ingeniería social o el desarrollo de exploits web para diferentes versiones del navegador; todo lo que necesita está disponible en forma de servicios en foros de piratas informáticos y en la darknet. Por una tarifa relativamente pequeña, estos especialistas prepararán correos electrónicos de phishing en función de los datos recopilados. El contenido malicioso para sitios web también se puede comprar como un servicio de instalación de código malicioso como servicio. En este caso, el cliente no necesita profundizar en los detalles de implementación. El script detectará automáticamente el navegador y la plataforma de la víctima y explotará, usará la versión apropiada del exploit para introducir y penetrar el dispositivo.
Herramientas: servicio de
"código malicioso como servicio" , un servicio para desarrollar correos electrónicos de phishing maliciosos.
Paso 3. Conexión al servidor de administración
Después de ingresar a la red de la planta, los hackers necesitan una cabeza de puente para asegurar y llevar a cabo más acciones. Puede ser una computadora comprometida con una puerta trasera instalada, que acepta comandos del servidor de administración en un alojamiento dedicado "a prueba de balas" (o "a prueba de quejas", también es "a prueba de balas" o BPHS - servicio de alojamiento a prueba de balas). Otra forma consiste en organizar un servidor de gestión directamente dentro de la infraestructura empresarial, en nuestro caso, la planta. Al mismo tiempo, no tiene que ocultar el tráfico entre el malware instalado en la red y el servidor.
FUENTE: TENDENCIA MICROLos mercados de delitos cibernéticos ofrecen varias opciones para dichos servidores, hechas en forma de productos de software completos, para los cuales incluso se proporciona soporte técnico.
Herramientas: hosting "a prueba de fallos" (a prueba de balas), servidor C & C como servicio.
Etapa 4. Desplazamientos laterales
Está lejos de ser un hecho que el acceso a la primera computadora comprometida en la infraestructura de la planta brindará la oportunidad de obtener información sobre la producción de palillos de dientes rizados. Para llegar a ellos, debe averiguar dónde se almacena el secreto principal y cómo llegar a él.
Esta etapa se llama "movimiento lateral" (movimiento lateral). Como regla general, los scripts se utilizan para llevarlo a cabo, automatizando el escaneo de la red, obteniendo privilegios administrativos, eliminando volcados de las bases de datos y buscando documentos almacenados en la red. Los scripts pueden usar las utilidades del sistema operativo o descargar diseños originales disponibles a un costo adicional.
Herramientas: scripts para escanear la red, obtener privilegios administrativos, drenar datos y buscar documentos.
Etapa 5. Apoyo al ataque
Los momentos en que los hackers tuvieron que sentarse enterrándose en la terminal para acompañar el ataque y tocar constantemente las teclas mientras escribían varios comandos son cosa del pasado. Los ciberdelincuentes modernos utilizan interfaces web, paneles y paneles de control convenientes para coordinar su trabajo. Las etapas del ataque se muestran en forma de gráficos visuales, el operador recibe notificaciones de los problemas que surgen y se pueden ofrecer varias soluciones para resolverlos.
Herramientas: panel de control de ataque web
Etapa 6. Robo de información
Tan pronto como se encuentre la información necesaria, es necesario transferirla de la red de la fábrica a los piratas informáticos de la manera más rápida y silenciosa posible. La transmisión debe estar disfrazada de tráfico legítimo para que el sistema DLP no note nada. Para esto, los hackers pueden usar conexiones seguras, cifrado, empaquetado y esteganografía.
Herramientas: encriptadores, encriptadores, túneles VPN, túneles DNS.
Resultado del ataque
Nuestros hackers hipotéticos penetraron fácilmente en la red de la fábrica, encontraron la información necesaria para el cliente y la robaron. Todo lo que necesitaban para esto era una cantidad relativamente pequeña para el alquiler de herramientas de piratas informáticos, que compensaron con creces vendiendo el secreto de los palillos a los competidores.
Conclusiones
Todo lo que necesita para realizar ataques dirigidos está fácilmente disponible en darknet y en foros de hackers. Cualquiera puede comprar o alquilar herramientas, y el nivel de oferta es tan alto que los vendedores ofrecen asistencia técnica y reducen constantemente los precios. En esta situación, no tiene sentido perder el tiempo disparando colibríes del arma y haciendo campañas maliciosas a gran escala. Retornos significativamente mayores traerán varios ataques dirigidos.
Los grupos de hackers de élite también se mantienen al día con las tendencias y diversifican los riesgos. Entienden que llevar a cabo ataques es algo peligroso, aunque lucrativo. Durante la preparación de los ataques y en las pausas entre ellos, también quiero comer, lo que significa que los ingresos adicionales no afectarán. Entonces, ¿por qué no dejar que otros usen sus diseños para obtener una recompensa decente? Esto dio lugar a una oferta masiva de servicios de piratería en alquiler y, de acuerdo con las leyes del mercado, provocó una disminución en su costo.
FUENTE: TENDENCIA MICROComo resultado, el umbral para ingresar al segmento de ataques dirigidos ha disminuido, y las compañías analíticas han visto un aumento en su número año tras año.
Otra consecuencia de la disponibilidad de herramientas en los mercados de delitos informáticos es que ahora los ataques de los grupos de APT son mucho más difíciles de distinguir de los ataques llevados a cabo por delincuentes que alquilan sus herramientas. Por lo tanto, la protección contra APT y cibercriminales no organizados requiere casi las mismas medidas, aunque se necesitan más recursos para contrarrestar APT.
Como criterio empírico por el cual se identifican las acciones de los piratas informáticos de APT, solo existe la complejidad y originalidad de los ataques, el uso de desarrollos y exploits únicos que no están disponibles en los mercados subterráneos, y un mayor nivel de conocimiento de las herramientas.