Red Seguridad 094

42 red seguridad tercer trimestre 2021 servicios esenciales monográfico comprometer las comunicaciones o en- contrar una manera de mantener una presencia en las redes corporativas con fines de espionaje: el secuestro de DNS, el ataque a los servidores de correo web y VPN corporativos o incluso el raspado de información disponible públicamente para obtener datos. Además, el espionaje y el robo de datos pueden ser el punto de partida de accio- nes más maliciosas. El reconocimiento es el primer paso de un ataque; las empre- sas deben ser cautelosas y asumir que cualquier signo de espionaje es un indi- cador de un ataque más complejo. Malware en constante cambio: Los distintos tipos de malware tienen dife- rentes objetivos en un ataque dirigido: in- trusión, robo de datos, propagación, etc. Para un agente de amenazas, mantener una presencia en el sistema de la víctima es crucial. Necesita poder dar continua- mente órdenes a su malware y recibir datos. Este tipo de comunicación estable y constante entre el servidor de mando y control y el malware es una prioridad, por lo que los atacantes suelen actualizar siempre su malware para intentar adelan- tarse a las soluciones de seguridad que puedan afectarle. Existen diferentes tipos de malware que los ciberdelincuentes utilizan para infec- tar a las víctimas, mantener la persisten- cia y comunicarse. Por ejemplo, las we- bshells −pequeños archivos escritos en PHP, ASP o Javascript− pueden utilizarse para conectarse a un servidor de mando y control, robar información, descargar archivos en servidores comprometidos y mucho más. El método del DNS tunneling aprovecha el protocolo DNS para transmi- tir datos entre el malware y su controla- dor. E incluso el correo electrónico y los servicios en la nube pueden utilizarse como canales de comunicación. Ransomware : El ransomware puede tener un gran impacto en las operaciones diarias, especialmente debido a la natu- raleza conectada de las redes empresa- riales. Un ejemplo reciente lo encontra- mos en el ciberataque del grupo Darkside a Colonial Pipeline en Estados Unidos, que obligó a la compañía a suspender sus operaciones y al gobierno a declarar el estado de emergencia. El reconocimiento es necesario para acceder con éxito a la red de una corpo- ración: los atacantes tienen que explorar sus objetivos para encontrar el mejor pun- to de entrada. A menudo utilizan emails de spear phishing elaborados específi- camente para la empresa o el sector. En- tonces, un ‘clic’ erróneo de un empleado puede abrir potencialmente cientos de dispositivos para comprometerlos. Una vez dentro de la red, el atacante intentará moverse lateralmente. Y elegirá cuidado- samente un momento para lanzar el ran- somware en servidores seleccionados o de forma masiva en la red. El objetivo final suele ser que la organización no pueda operar con normalidad o recuperar los datos perdidos (por ejemplo, manipulan- do el sistema de copias de seguridad) para que sea más probable que paguen el rescate. Recomendaciones Las instalaciones de petróleo y gas son infraestructuras críticas que crean pro- ductos vitales para las economías de todo el mundo. La protección de la cadena de suministro no es solo una cuestión impor- tante para las empresas que participan en la fabricación de los productos, sino también para quienes dependen de ellos y los consumen. Los datos e investigaciones ya demues- tran que los actores persistentes, utilizan- do métodos relativamente simples, pue- den causar un daño real a las compañías involucradas en esta industria e incluso provocar circunstancias que afecten a las economías mundiales. Asegurarse de que todas las comuni- caciones de datos tienen comprobacio- nes de integridad, bloquear y proteger los nombres de dominio, utilizar las ex- tensiones de seguridad del sistema de nombres de dominio, mantener todo el software actualizado siempre y cuando sea posible o usar herramientas de par- cheado virtual, monitorizar fugas de da- tos y formar y mantener a los empleados al tanto de las amenazas actuales son algunas de las recomendaciones para defenderse de las ciberamenazas.