- Autenticación alternativa, cambios en los flujos de secuencias, compromiso de código o de la cadena de valor y ataque a servicios cloud crecen como vectores de ataque
CrowdStrike, compañía de ciberseguridad especializada en la protección del endpoint desde la nube y en la protección de las cargas de trabajo, ha hecho público su informe anual de amenazas, en el que alerta de nuevas técnicas que están llevando a cabo los ciberdelincuentes y que ponen de relieve la necesidad de innovar en las capacidades de prevención y remediación:
Uso de materiales de autenticación alternativos: “Pass The Ticket”. Los ciberdelincuentes pueden robar accesos del protocolo de autenticación Kerberos para introducirse en las redes corporativas. Con el método “Pass The Ticket”, los criminales se pueden autenticar sin necesidad de conocer las contraseñas y, por tanto, acceder a la red de forma más o menos sencilla.
Flujos de ejecución de secuestro. Los delincuentes modifican el entorno COR_PROFILER para cargar librerías en los procesos .NET secuestrando pues los flujos de programas.
Compromiso de códigos de programas del cliente. Una vez que se consigue el acceso a la red, el criminal puede modificar el código de los programas para conseguir persistencia. Entre los programas y protocolos afectados, CrowdStrike ha encontrado ataques en SSH, FTP, clientes de correo y navegadores web. Aunque es más común que se utilicen herramientas existentes para conseguir los objetivos, en algunos casos modificar software ha demostrado ser la mejor manera para que los criminales accedan a los sistemas, por lo que es fundamental asegurarse de que las firmas son válidas y de que los programas no están teniendo comportamientos anómalos.
Descubriendo los servicios cloud. Cuando se ha accedido a la red, el ciberdelincuente intentará reconocer servicios cloud para poder introducirse en ellos y ampliar sus horizontes de ataque.
Compromiso de la cadena de valor. En muchas ocasiones el ataque a una organización no tiene como objetivo tal empresa sino su cadena de valor, ya sea modificando las características de un producto o comprometiendo las vías de comunicación con clientes o proveedores para facilitar el despliegue del malware. “Muchas herramientas de seguridad están preparadas para prevenir ataques realizados mediante las técnicas más usuales, más extendidas”, alerta XX, XX de CrowdStrike. “Sin embargo, los ciberdelincuentes no dejan de innovar para poder acceder a las redes corporativas y poder alcanzar sus objetivos, por lo que es importante conocer –y saber atajar- las técnicas más modernas y que pueden pasar desapercibidas por las herramientas tradicionales de protección”.
Se puede encontrar un análisis más detallado de las nuevas técnicas utilizadas por los ciberdelincuentes en los últimos meses y descubiertas por CrowdStrike en el informe anual de amenazas publicado por la compañía.
Nuestras noticias también son publicadas a través de nuestra cuenta en Twitter @ITNEWSLAT y en la aplicación SQUID |