Afinales de mayo, el equipo de seguridad informática de Microsoft detectó una actividad anómala: la Consola del Instrumental de Administración de Windows (WMIC) estaba registrando una actividad muy por encima de lo normal. Se trataba de una herramienta total y absolutamente legítima del sistema operativo de la compañía, pero llamó la atención que su actividad se hubiese incrementado tanto casi de un día para otro.

Pasó poco tiempo hasta que saltaron las alarmas. El equipo se puso a investigar las posibles causas de este incremento de actividad y se llevó una sorpresa: Astaroth, el malware que se hizo famoso en 2018, había vuelto.

Así entró Astaroth en WMIC_

El proceso de infección era el siguiente. Se produjo una masiva campaña de spam en la que un sinfín de correos electrónicos redirigían a los usuarios a una web con un fichero de extensión .LNK, un tipo de archivo empleado en los tradicionales accesos directos, pero también en diversas tácticas de ciberataque mediante malware.

En caso de que los usuarios no se descargasen ese archivo, los ciberatacantes recurrían a la Consola y a otras herramientas legítimas del sistema para añadir código adicional. El objetivo final era descargarse Astaroth, que es capaz de volcar todo tipo de credenciales de diversas aplicaciones y cargarlos en un servidor externo. En otras palabras, el incremento de actividad en WMIC tenía como objetivo robar todo tipo de información de los equipos afectados.

Sin archivo y con herramientas confiables_

Este ataque tenía dos problemas para las empresas. En primer lugar, en todo momento la infección inicial se realizaba sin ningún tipo de archivo identificable como sospechoso. En segundo lugar, los ciberdelincuentes siempre recurrían a herramientas totalmente legítimas y confiables del propio sistema operativo.

La conclusión era tan efectiva como preocupante: los atacantes conseguían llevar a cabo la infección con técnicas Living off the Land, con lo que su actividad pasaba absolutamente desapercibida para todas las soluciones de ciberseguridad tradicional.

Cómo evitar estas infecciones_

Para prevenir estos ataques hay que asumir un precepto que, sin ser nuevo, sigue sin ser el más frecuente: para que se produzca un ciberataque no es imprescindible la existencia de un archivo físico y ejecutable que dé comienzo a la intrusión, puede tratarse de un ataque malwareless. Además, si el ciberataque recurre a aplicaciones legítimas y confiables del sistema operativo, las soluciones de ciberseguridad basadas únicamente en la detección de archivos o de herramientas sospechosas no es suficiente. Hay que ir mucho más allá.

Pero el hecho de que un ataque cumpla estas dos premisas no lo convierte en invisible, ni mucho menos, ni en indetectable. Ahora bien, para acabar con él hay que adoptar una actitud nueva: la proactiva, que busca posibles anomalías antes de que la situación se agrave y se convierta en un incidente de seguridad informática.

Para ello es indispensable recurrir al Threat Hunting, que no solo evalúa la posible existencia de archivos maliciosos, sino que además analiza el comportamiento de los procesos activos en el sistema operativo para detectar situaciones de potencial peligro. De hecho, eso fue precisamente lo que permitió a todo el equipo de ciberseguridad de Microsoft detectar la presencia de Astaroth: monitorizar la actividad en WMIC y darse cuenta de que el aumento del tráfico no podía deberse a un comportamiento normal y corriente. La investigación fue la que permitió detectar la raíz del ciberataque.

Además, las labores automatizadas siempre se deben combinar con la labor manual de los profesionales en ciberdefensa avanzada, que llegan donde los algoritmos de detección quizá no puedan detenerse de manera tan pormenorizada. Esta forma de trabajar permite jerarquizar el trabajo: mientras los profesionales se centran en las alarmas más importantes, las tareas automatizadas pueden centrarse en alertas de menor rango y en detectar patrones de comportamiento posiblemente sospechosos.

Y de esas premisas parte  Cytomic Orion, nuestra solución de Threat Hunting e incident response. Cytomic Orion compatibiliza su trabajo en dos direcciones: por un lado, su consola evalúa los procesos activos de todo el sistema informático para analizar patrones, evaluar rutinas y detectar posibles comportamientos anómalos que puedan levantar sospechas, no solo encontrándolos de forma proactiva, sino también actuando para eliminar cualquier tipo de alarma. Por otro, el equipo de analistas expertos llega hasta donde a veces no pueden llegar las tareas automatizadas, centrándose en las alertas más importantes y eliminando toda posibilidad de que el ciberataque fructifique. Un dualidad, la de solución y servicio, que permite, por ejemplo, neutralizar los ataques Living off the Land,  aún recurriendo a herramientas legítimas del sistema.

Se trata, en conclusión, de ser conscientes de que los ciberdelincuentes van cambiando sus estrategias de ataque y de que estos ya no tienen por qué ir acompañados de un archivo concreto para acometer la intrusión. Y ante ese nuevo contexto, las soluciones y equipos de ciberseguridad empresarial deben mantener un trabajo proactivo para mitigar cualquier probabilidad antes siquiera de que llegue a materializarse.