Las formas de propagación de ciberamenazas son cada vez más diversas y sofisticadas. En ese sentido, los ciberdelincuentes son auténticos virtuosos de la creatividad: El ingenio que mostraba el crimen tradicional, representado en el cine (con sus licencias exageradas) por películas como El Golpe u Oceans eleven ahora está en manos de los hackers maliciosos.
Mientras esperamos a que el séptimo arte nos ofrezca un equivalente informático de esos filmes para que podamos reseñarlo en este nuestro blog (a lo mejor existe ya y no nos hemos enterado), nos conformamos con una realidad que, perdonadnos el topicazo, supera a la ficción. Y es que no sólo la habilidad de los cibercriminales impulsa sus ataques cibernéticos, sino que a veces son los propios sistemas y aplicaciones informáticas atacadas las que abren las puertas a sus fechorías.
Un ejemplo de ello son las herramientas de confianza, como el protocolo de escritorio remoto, ese software que permite usar un ordenador de escritorio a distancia, desde otra IP. Claro, un concepto así, como podéis imaginar, es algo con lo que a los ciberespías les hacen los ojos chiribitas.
Sobre este tema ofrecemos a continuación un informe para ilustrar el tema. Y mientras, imaginad al ciberdelincuente de turno detrás de su ordenador, pero con sus ojillos pícaros asomando por unos agujeros cibernéticos en vuestro propio PC, trasladando así el cliché de la foto de arriba al ámbito digital. No es que queramos asustaros, solo advertiros.
Escondidos a plena vista: el abuso de aplicaciones de confianza crece un 51% en el último Active Adversary Report de Sophos
Sophos, líder mundial en innovación y ciberseguridad como servicio, publica el informe “The Bite from Inside: The Sophos Active Adversary Report”, una mirada en profundidad a los comportamientos cambiantes y las técnicas de ataque que los adversarios utilizaron en la primera mitad de 2024.
Los datos, derivados de casi 200 casos de respuesta a incidentes (IR) tanto del equipo IR de Sophos X-Ops como del equipo Managed Detection and Response (MDR) de Sophos X-Ops, revelan que los atacantes están aprovechando aplicaciones y herramientas de confianza en sistemas Windows, comúnmente llamados binarios “living off the land”, para realizar exploraciones en los sistemas y mantener la persistencia.
Cuando se compara con 2023, Sophos ha detectado un aumento del 51% en el abuso de binarios “living off the land” o LOLbins. Desde 2021, este aumento ha sido de un 83%. Entre los 187 LOLbins únicos de Microsoft detectados en la primera mitad del año, la aplicación de confianza de la que más se abusó fue el Protocolo de Escritorio Remoto (RDP). De los casi 200 casos de IR analizados, los atacantes abusaron de RDP en el 89% de ellos. Este predominio continúa una tendencia observada por primera vez en el Active Adversary Report 2023, en el que el abuso de RDP fue frecuente en el 90% de todos los casos de IR investigados.
“Living off the land no sólo ofrece discreción a las actividades de un atacante, sino que también proporciona un respaldo tácito a sus actividades. Mientras que abusar de algunas herramientas legítimas puede levantar las cejas de algunos defensores, y con suerte algunas alertas, abusar de un binario de Microsoft a menudo tiene el efecto contrario. Muchas de estas herramientas de Microsoft de las que se abusa son parte integral de Windows y tienen usos legítimos, pero depende de los administradores de sistemas entender cómo se utilizan en sus entornos y qué constituye un abuso. Sin un conocimiento matizado y contextual del entorno, que incluya una vigilancia continua de los sucesos nuevos y en desarrollo dentro de la red, los equipos de TI actuales corren el riesgo de pasar por alto actividades de amenazas clave que a menudo conducen al ransomware”, afirma John Shier, CTO Field en Sophos.