Como ya hemos visto en diversas ocasiones, los ciberdelincuentes evolucionan cada vez más rápido sus técnicas de ataque y actualmente están combinando la Ingeniería Social con herramienta de automatización para lleva a cabo con éxito sus ataques contra servidores. Este nuevo tipo de ataques utilizan una combinación de uso de bots para identificar a las víctimas potenciales con adversarios activos tomando decisiones sobre a quién y cómo atacar de forma que utilizan los bots para descubrir objetivos fáciles.

Tal y como señalan los análisis de Sophos Labs Uncut en el artículo Worms Deliver Cryptomining Malware to Web Servers. En el informe se explica cómo un ataque automatizado puede llegar a liberar una gran cantidad de código malicioso dentro de los servidores, ya que tienden a actualizarse con menor regularidad.

Anatomía de un ciberataque combinado

Una vez que los bots identifican a los objetivos potenciales, los cibercriminales utilizan sus conocimientos y experiencia para seleccionar a las víctimas en función de la importancia de los datos sensibles de la empresa o de la propiedad intelectual, de su capacidad para pagar un posible gran rescate o si existe la posibilidad de acceder a otros servidores y redes.

El paso final se lleva a cabo de forma manual, consistiendo en entrar, evitando la detección y en moverse de forma lateral para completar la misión. En este caso deben moverse de forma sigilosa para poder robar la información y salir sin ser vistos, desactivando las copias de seguridad y cifrando los servidores para después exigir rescates elevados, o bien utilizarlos servidores como trampolín hacia otras empresas.

Los ciberataques combinados, una vez se han incorporado al manual del ciberatacante de infraestructuras gubernamentales, se están convirtiendo en una práctica habitual en el día a día de los cibercriminales porque salen rentables. “La diferencia es que los ciberatacantes de este tipo de infraestructuras suelen mantenerse dentro de las redes durante largos periodos de tiempo mientras que los ciberdelincuentes comunes buscan oportunidades con las que ganar dinero de forma rápida”, afirma Alberto R Rodas, Director de Ingeniería en Sophos Iberia. “La mayoría de los malwares ya están automatizados, por lo que resulta fácil para los atacantes encontrar empresas con sistemas de seguridad débiles, evaluar cuál es el día de pago de nóminas y utilizar técnicas de ataque para hacer el mayor daño posible” añade.

Sophos Intercept X for Server con EDR

Sophos ha anunciado mejoras en Intercept X for Server con tecnología de Detección y Respuesta para Enpoints (EDR, por sus siglas en inglés). Al incluir EDR a Intercept X for Server, los administradores de TI pueden investigar los ciberataques cometidos contra servidores, un objetivo que cada vez despierta más el interés de los cibercriminales debido al gran volumen de datos que se almacenan en ellos.

El objetivo de Sophos Intercept X for Server con EDR, es ofrecer a los responsables de TI de empresas de todos los tamaños una visibilidad completa de lo que ocurre en su organización. Permitiéndoles detectar de forma proactiva los ataques sigilosos, comprender mejor el impacto de sus incidentes de seguridad y visualizar rápidamente el historial completo de ataques.

Tal y como explica Rodas, “Cuando los atacantes irrumpen en la red, se dirigen directamente al servidor. Desafortunadamente, la función fundamental que cumplen los servidores en una empresa hace que muchas organizaciones frenen el hacer cambios en ellos, lo que a menudo significa retrasar el despliegue de parches de seguridad. Los ciberdelincuentes ven en ello una oportunidad. Si las empresas son víctimas de un ataque, necesitan conocer todo el contexto de los dispositivos y los servidores afectados para mejorar la seguridad, así cómo responder a las preguntas legales más estrictas. Conocer esta información con precisión por primera vez puede ayudar a las organizaciones a solucionar el problema mucho más rápido y evitar que sus datos vuelvan a ser vulnerados,” asegura Rodas.

“Si los reguladores confían en el análisis forense digital como evidencia que demuestra la pérdida de datos, entonces las empresas pueden confiar en el mismo análisis forense para demostrar que sus datos no han sido robados. Sophos Intercept X for Server con EDR permite ofrecer los insights necesarios y datos relevantes de seguridad”.

Sophos Intercept X for server con EDR amplía la oferta EDR de Sophos, anunciada previamente para Endpoints en octubre de 2018. Sophos EDR trabaja con tecnología Deep Learning para lograr un mayor conocimiento del malware. La red neuronal del Deep Learning de Sophos trabaja con cientos de millones de muestras para buscar atributos sospechosos o código malicioso para detectar amenazas desconocidas. Esta función permite analizar de forma completa y especializada los ataques potenciales comparando el ADN de los archivos sospechosos con las muestras de malware que ya han sido categorizadas por los SophosLabs.

“Con un entorno en el que las ciberamenazas provienen de múltiples vectores y a un ritmo constante, las empresas no pueden permitirse tener carencias en la visibilidad. Creemos que, en el momento en el que los equipos de seguridad están buscando oportunidades para mejorar su protección, reunir las funciones EDR con visibilidad sobre todos los servidores y endpoints es un paso positivo hacia una mayor eficiencia” , afirma Fernando Montenegro, analista de mercado senior de 451 Research.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario