Plisq Logo Blanco con borde





Servicios +

Contacto

Somos PlisQ

Noticias

Gijón – Sede

C/ Anselmo Solar, 41
33204 Gijón, España

Kit Digital

Hasta 12.000 Euros en subvenciones para digitalizar tu negocio.

Ver

+34 689 928 259
hola@plisq.com

Plisq Logo Watermark

Ciberataque – Geografía e Identidad 12 – Atrapando a los hackers en el acto

Feb 2, 2023

En el artículo anterior de esta serie, hablamos de Hack-Back: ¿Hacerlo o no hacerlo?. En el artículo de hoy hablaremos de técnicas para recoger información muy útil de los cibercriminales en «Ciberataque – Geografía e Identidad 12 – Atrapando a los hackers en el acto».

La serie completa consta de 15 artículos:

Publicados – Artículo 1, Artículo 2, Artículo 3, Artículo 4, Artículo 5, Artículo 6, Artículo 7, Artículo 8, Artículo 9, Artículo 10, Artículo 11, Artículo 12, Artículo 13, Artículo 14, Artículo 15.

Los ciberdelincuentes empiezan a atacar los servidores recién puestos en línea aproximadamente unos 21 minutos después de su encendido y conexión a internet, según hemos podido comprobar a través del registro de los primeros ataques a las plataformas web que gestionamos.

Los servidores forman parte de un experimento sobre seguridad digital y sirve el propósito de cuantificar la escala y el calibre de los ciberataques a los que se enfrentan las empresas cada día,

Lo que hemos descubierto, unos 21 minutos después de que los servidores se pusieran en línea, es que fueron visitados principalmente por herramientas de ataque automatizadas, que los analizaron en busca de puntos débiles conocidos que poder explotar.

Una vez que las máquinas fueron encontradas por los bots, fueron sometidas a un asalto «constante» por parte de las herramientas de ataque. Y este asalto, pasó a ser más frecuente porque una vez descubiertos, pasaron formar parte de una libraría dinámica que esas herramientas usan.

Honeypot

Los servidores se mantienen en línea siendo parte de una herramienta de muestreo de ciberataques conocida como honeypot. Los servidores recibieron direcciones IP reales y públicas, así como otros datos de identificación que anunciaban su presencia en línea.

cibersecurity Honeypot

«Nuestra propuesta es trazar un mapa de la actividad de los ataques»

Para hacerlos aún más realistas, cada servicio fue configurado para parecerse superficialmente a un servicio legítimo. Cada uno puede aceptar solicitudes de páginas web y transferencias de archivos.

Los bots de ataque buscan debilidades bien conocidas en las aplicaciones web más utilizadas.

Las respuestas limitadas de los servidores no disuadieron a las herramientas de ataque automatizadas, o bots, que muchos ciberladrones utilizan para encontrar víctimas potenciales. Una gran variedad de bots de ataque sondearon los servidores en busca de puntos débiles que podrían ser explotados como si se tratara de máquinas de servicios reales y en producción.

Algunos factos interesantes

Pasemos a los factos del experimento (hasta la fecha de este artículo):

  • El 17% de los bots de ataque son scrapers que buscan chupar todo el contenido web que encuentran.
  • El 37% busca vulnerabilidades en aplicaciones web o prueba contraseñas de administrador conocidas.
  • El 10% busca fallos en las aplicaciones web de los servidores.
  • El 29% trata de acceder a las cuentas de los usuarios mediante técnicas de fuerza bruta a través de listas y librerías de contraseñas.
  • El 7% busca fallos en el software del sistema operativo que ejecutaban los servidores.

Se trata entonces, de un patrón muy típico de estos bots automáticos. Utilizaron técnicas similares a las que hemos visto antes. No hay nada particularmente nuevo.

Honeypots y el Phishing

Pero no nos hemos quedado por aquí, también hemos averiguado la rapidez con la que las bandas de phishing inician sus ataques. Para ello, tenemos varias cuentas de correos electrónicos legítimas con direcciones falsas y esto fue lo que hemos encontrado:

Al cabo de aproximadamente 31 horas, el primer mensaje de phishing con trampa llegó a la bandeja de entrada del correo electrónico. Le siguió un goteo constante de mensajes que buscaban, de muchas maneras diferentes, engañar a la gente para que abriera archivos adjuntos maliciosos.

Alrededor del 15% de los correos electrónicos contenían un enlace a una página web comprometida que, si se visitaba, lanza un ataque que compromete el PC del visitante.

El otro 85% de los mensajes de phishing contenían archivos adjuntos maliciosos. La cuenta recibió documentos de Microsoft Office con trampas, PDF de Adobe, archivos ejecutables, enlaces para cambio urgente de contraseñas de sitio oficiales y etc… La lista es larga.

Se pueden utilizar Honeypots de diferentes maneras. El concepto se extiende a casi cualquier tipo de cosa en la que se pueda crear una versión falsa o incluso real de algo. Lo pones en circulación y ves quién aparece para golpearlo o romperlo.

Honeypots
Honey-nets
Honey-tokens
Honey todo….

Cuando un cliente ve una amenaza que ha afectado a cientos de honeypots, es diferente a cuando ve una que nadie más tiene. Ese contexto en términos de ataque es muy útil.

Algunos son poco densos, pero otros son mucho más profundos y tienen una escala muy amplia. A veces pones el equivalente a un escaparate falso para ver quién aparece para atacarlo.

La puerta abierta

Si vemos un contexto que nunca hemos visto antes, les dejamos entrar para ver qué podemos aprender de los cibercriminales.

Los adversarios más sofisticados suelen ser muy selectivos cuando persiguen a empresas o personas concretas.

Las técnicas utilizadas por los bots son una buena guía de lo que las organizaciones deberían hacer para evitar ser víctimas. Deben endurecer los servidores mediante parches, controles de acceso a los administradores, comprobar las aplicaciones para asegurarse de que no albergan errores conocidos e imponer contraseñas seguras.

Una inmersión más profunda

Los delincuentes suelen tener diferentes objetivos en mente cuando buscan servidores vulnerables. Algunos quieren secuestrar las cuentas de los usuarios y otros pretenden apoderarse de los servidores y utilizarlos para sus propios fines.

Los honeypots se han convertido en una herramienta útil para las empresas de seguridad que desean conocer las técnicas de ataque de los hackers.

Los ciberladrones revisan los registros recopilados por los bots de ataque para ver si han encontrado algún objetivo útil o lucrativo.

La monetización del cibercrimen

Los cibercriminales, están particularmente interesados en la obtención de información de servidores y servicios de alto valor y que están comprometidos por un bot. Hablamos de servidores y servicios de bancos, gobiernos u otros que pueden crear un alto beneficio (normalmente económico) para el atacante..

Venden el acceso a partes de su red de bots y ofrecen a otros atacantes el acceso a las máquinas en las que sus bots están activos. Hemos visto casos en los que una infección bot automatizada, se convierte en una operación manual y ampliamente explorada para muchos otros fines.

En esos casos, los atacantes utilizan la puerta inicial obtenida a través del bot como punto de partida para un ataque más amplio. En ese momento, los hackers toman el control y empiezan a utilizar otras herramientas de ataque digital para penetrar más en una organización comprometida.

Una vez que un cibercriminal ha llegado a cierto nivel en una organización hay que preguntarse qué hará a continuación. Todo depende de lo que encuentra y si puede permanecer indetectado, puede utilizar la infraestructura para sus fines, durante mucho tiempo.

En un intento de explorar lo que ocurre en estas situaciones estamos diseñando soluciones y dotarlas de mayor profundidad e inteligencia para convertirlas en objetivos aún más tentadores para los Hackers. La idea es conocer de cerca las técnicas que utilizan los hackers cuando se embarcan en un ataque más profundo.

En el artículo de hoy, hablamos de Honeypots en atrapando a los hackers en el acto – Ciberataque – Geografía e Identidad 12 – Atrapando a los hackers en el acto. En el próximo artículo (Artículo 13) hablaremos de la ciberseguridad en el núcleo empresarial.

La serie completa de “Ciberataque – Geografía e Identidad”:

#1 – «Ciberataque – Geografía e Identidad 1 – Cambio de paradigma«
#2 – «Ciberataque – Geografía e Identidad 2 – Cuando hackear es un asunto de estado«
#3 – «Ciberataque – Geografía e Identidad 3 – Primero protege tu hardware«
#4 – «Ciberataque – Geografía e Identidad 4 – Las 57 principales amenazas«
#5 – «Ciberataque – Geografía e Identidad 5 – El aspecto humano de la ciberseguridad«
#6 – «Ciberataque – Geografía e Identidad 6 – La diferencia entre hackers, ciberdelincuentes y ladrones de identidad«
#7 – «Ciberataque – Geografía e Identidad 7 – Las motivaciones de los ciberdelincuentes«
#8 – «Ciberataque – Geografía e Identidad 8 – Vectores del ransomware y cómo evitar convertirse en víctima«
#9 – «Ciberataque – Geografía e Identidad 9 – Reconoce y evita el phishing«
#10 – «Ciberataque – Geografía e Identidad 10 – IA, un salto de gigante en ciberseguridad«
#11 – «Ciberataque – Geografía e Identidad 11 – ¿Hacking Back?«
#12 – «Ciberataque – Geografía e Identidad 12 – Atrapando a los hackers en el acto«
#13 – «Ciberataque – Geografía e Identidad 13 – La ciberseguridad en el núcleo empresarial«
#14 – «Ciberataque – Geografía e Identidad 14 – Nuevas normativas de ciberseguridad en la Unión Europea«
#15 – «Ciberataque – Geografía e Identidad 15 – Defensa Activa«
Página Infografía del ciberataque.

Siempre en colaboración

Iniciar proyecto
Loading...