Los ataques malwareless serán muy protagonistas durante 2018

4 enero, 2018
23 Compartido 1,331 Visualizaciones

2017 ha sido el año del ransomware. La escala global que alcanzó WannaCry, robando información de empresas de medio mundo, tuvo un impacto devastador. La repercusión mediática que obtuvo logró que el mundo comprendiera qué es el ransomware y también que empresas y usuarios prestaran, por fin, mayor atención a la importancia de la ciberseguridad.

Si bien seguiremos viendo más ataques de ransomware y de otras amenazas que utilizan malware en 2018, la previsión es que el año que viene ganarán peso los denominados ataques malwareless. Ya hemos visto casos este año, pero el año que viene los ataques sin malware (malwareless) serán tendencia.

Suplantando al administrador

A medida que empresas e instituciones invierten en mejores sistemas de seguridad, los cibercriminales usan métodos cada vez más ingeniosos para sortear las barreras y lograr su propósito. Por eso, en los últimos meses hemos visto un mayor número de ataques que no utilizan malware, fácilmente detectable por herramientas de ciberseguridad avanzada. En su lugar, los atacantes asumen la identidad del administrador, tras haber conseguido sus credenciales de red. Es algo que ya está sucediendo: en el 62% de las brechas de seguridad en empresas en 2017 se han empleado técnicas de hacking; y en el 49% de esos incidentes no se utilizó malware. En 2018 esta situación se agravará.

¿Cómo pueden atacarme sin malware?

Las técnicas empleadas por los ciberdelincuentes para atacar sin utilizar malware pueden ser muy variadas, aprovechando todo tipo de herramientas no maliciosas que forman parte del día a día de los responsables de TI.

Sticky Attacks para colarse por la puerta de atrás

  • Un gran ejemplo es este caso detectado por PandaLabs. En primer lugar, los atacantes recurren a un ataque de fuerza bruta contra un servidor que tiene habilitado el Remote Desktop Protocol (RDP) y consiguen las credenciales para acceder al equipo. A partir de ahí, los ciberdelincuentes hacen uso de scripts y herramientas del propio sistema operativo para pasar desapercibidos e instalar una sencilla puerta trasera. ¿Para qué? La respuesta es simple: aunque la víctima se dé cuenta de que ha sido comprometida y modifique las credenciales de acceso del Escritorio Remoto, el atacante puede aprovechar las ‘Sticky keys’ (teclas especiales) para acceder al equipo sin necesidad de introducir las credenciales de acceso. Tan solo debe pulsar 5 veces la tecla mayúscula para activar las ‘Sticky keys’ y ejecutar simultáneamente la puerta trasera.
  • Tal y como muestra esta infografía, el ataque no termina ahí, sino que los cibercriminales utilizaban dos maneras distintas para monetizar la ofensiva: generar tráfico online que se vendía a páginas de terceros o vender al mejor postor el acceso a las máquinas comprometidas.

Aprovechando PowerShell para minar criptomonedas

Otro caso reciente detectado por PandaLabs es este ataque automatizado que utiliza una combinación de diferentes técnicas: ataque de malware sin fichero, uso de PowerShell, exploits y Mimikatz personalizado para instalar un software de minería de Monero en los equipos comprometidos.

Este ataque es una clara muestra de cómo herramientas tan esenciales para los administradores de sistemas, como PowerShell, son cada vez más empleadas por los hackers para realizar sus ataques.

Te podría interesar

IREO se consolida como mayorista en ITSM y seguridad y prevé superar 10 millones de facturación en este año
Actualidad
11 compartido1,243 visualizaciones1
Actualidad
11 compartido1,243 visualizaciones1

IREO se consolida como mayorista en ITSM y seguridad y prevé superar 10 millones de facturación en este año

Mónica Gallego - 25 junio, 2018

IREO, mayorista de soluciones TI y seguridad prevé superar 10 millones de euros de facturación en este año 2018.  IREO también…

Los usuarios de Geotab ya tienen disponible un modo de privacidad
Actualidad
8 compartido510 visualizaciones
Actualidad
8 compartido510 visualizaciones

Los usuarios de Geotab ya tienen disponible un modo de privacidad

Vicente Ramírez - 31 mayo, 2018

Los datos recopilados por los vehículos profesionales durante viajes personales seguirán siendo privados gracias a Privacy Mode. Geotab, empresa proveedora…

El ransomware provoca costes medios de 133.000 dólares en 2017 a las empresas
Actualidad
67 compartido1,642 visualizaciones
Actualidad
67 compartido1,642 visualizaciones

El ransomware provoca costes medios de 133.000 dólares en 2017 a las empresas

José Luis - 27 febrero, 2018

Un estudio realizado por Sophos indica que el 69% de las empresas encuestadas desconoce qué es un exploit y cómo…

Deje un comentario

Su email no será publicado