Los ataques Petya/NotPetya conmocionaron al mundo entero en 2017. No solo por su crudeza y su alcance, sino también por las consecuencias que tuvieron que asumir las empresas, instituciones y organizaciones a nivel global que fueron víctimas de dicho altercado.

Hay un factor que, quizá sin preverlo, se convirtió en el mejor aliado de estos ciberataques: su intrusión no se produjo mediante la instalación de malware, sino que llegó a través de programas aparentemente seguros. En este caso nadie podía suponer que en Ucrania, uno de los países más afectados, el problema llegaría por uno de los softwares de contabilidad más usados por las empresas de aquel país. Una vez instalada la infección, además, esta se divulgó a través de PsExec o WMIC, utilizadas habitualmente para ejecutar aplicaciones de manera remota. El uso de estas herramientas legítimas de los administradores de sistemas permitió la expansión del ataque.

Hay casos similares. Carbanak, uno de los grupos de ciberdelincuentes más famosos del mundo, se ha hecho famoso por los numerosos ciberataques en los que ha conseguido robar más de 1.000 millones de dólares a diversos bancos online. Una de sus tácticas era acceder al código interno de dichas entidades sin recurrir necesariamente a la infección con malware.

La clave: ataques Living off the Land_

El caso de Petya/NotPetya y los de Carbanak tienen una cosa en común: todos ellos se produjeron mediante Living off the Land (LotL), un método de ataque cada vez más frecuente. Haciendo una traducción libre podemos definir los ataques LotL como aquellos que se sirven de lo que la ‘naturaleza’ ya dispone. En otras palabras, que no necesitan desarrollar archivos maliciosos desde cero, sino que aprovechan las puertas de entrada que ya existen en los sistemas informáticos.

Así pues, los ataques LotL deciden optar por entrar en los sistemas de las organizaciones a través de programas confiables que no vayan a despertar ninguna sospecha e introduciendo en ellos códigos maliciosos. Con esta táctica consiguen varias cosas: para empezar, son capaces de eludir los sistemas de protección tradicional, que no levantarán sus sospechas ante un software aparentemente seguro.

Además, este tipo de intrusión permite que los ciberdelincuentes puedan entrar en el sistema informático de manera segura e incluso pasar varios meses dentro de él sin activar ningún tipo de alarma. Dadas las circunstancias, también consiguen que la identificación de su procedencia sea mucho más compleja que cuando se usan determinados archivos. El motivo es que la gran mayoría de las soluciones de ciberseguridad son incapaces de detectar comportamientos peligrosos cuando se realizan con herramientas categorizadas como legítimas.

Los ciberataques Living off the Land, por tanto, son idóneos para muchos ciberdelincuentes: entran a través de puertas seguras, no despiertan sospechas, complican su identificación y ni siquiera han tenido que crear un archivo malicioso desde cero.

Cómo evitar los ataques LotL_

Los ciberataques Living off the Land pueden suponer graves consecuencias para las instituciones que los sufran, de modo que deben poner todo de su parte para evitar que entren en acción. Para ello es vital que diseñen un protocolo integral y no dejar margen posible a la maniobra.

Para empezar, deben revisar hasta qué punto recurren a lenguajes de scripting como Powershell, que se han demostrado significativamente vulnerables. Si pueden, deberán evitarlos. En caso de tener que recurrir a ellos, será esencial reforzar las alertas, ya que, como hemos dicho, los ataques LotL suelen pasar desapercibidos para muchas soluciones de ciberseguridad.

Para ello será clave ejercer un acto de monitorización y seguimiento del sistema informático, atendiendo a todos los procesos que esté albergando. De este modo se podrán encontrar acciones sospechosas, detectar comportamientos anómalos y ponerles remedio antes de que el peligro llegue a manifestarse.

Pero esto no implica que todo deba hacerse de manera automatizada. Las empresas deben contar con equipos de Threat Hunting que, liberados de los procesos menores que recaen en los automatismos, puedan centrarse en las mayores amenazas para completar las labores de cibervigilancia. En este sentido, por tanto, la tecnología se ocupará de las posibles alertas menores o rutinarias, mientras que los profesionales atenderán a las situaciones más delicadas.

En cualquier caso, hay una palabra que ninguna empresa debe olvidar: ciberresiliencia. Teniendo en cuenta que los ciberdelincuentes cada vez sofistican más sus estrategias de ataque y que estas van mejorando continuamente, es esencial que las organizaciones que quieran proteger su ciberseguridad empresarial estén vigilantes y se adapten continuamente a estos nuevos métodos. Esto les permitirá detectar y mitigar o eliminar el riesgo que pueda suponer un ataque antes de que se haga realidad.

En este sentido, la combinación de soluciones de ciberseguridad avanzada y servicios gestionados de Cytomic, son capaces de monitorizar todos los procesos del sistema en busca de comportamientos anómalos o posibles amenazas para acabar con ellas antes de que se manifiesten. A partir de ahí, se realiza un perfilado de comportamiento para establecer unos patrones. Todo ello combinando tecnología avanzada para la automatización inteligente de procesos y reacciones, y la labor humana de los analistas expertos que investigan y conectan eventos aparentemente aislados para rebelar ataques tan avanzados como los que recurren a técnicas LotL antes de que supongan una amenaza para las organizaciones.