Cómo combatir los ataques de los Estados-Nación y de los ciberdelincuentes: trabajando desde dentro de la amenaza

A lo largo del último año, hemos observado un aumento considerable en las amenazas transversales. Este tipo de actividades afecta a múltiples infraestructuras dentro de la arquitectura tecnológica de una organización, incluyendo identidad, nube y endpoints. Estos ataques dejan una huella mínima en cada área afectada, como si se tratase de piezas separadas de un rompecabezas, lo que los hace más difíciles de detectar.

Aunque las intrusiones transversales son muy dispares, CrowdStrike ha observado cada vez más ataques que aprovechan credenciales robadas para infiltrarse en entornos cloud y para moverse después lateralmente por los endpoints. Esta actividad se ve impulsada por técnicas sofisticadas de phishing y por la proliferación de ladrones de información (infostealers). Una vez que los adversarios obtienen o roban credenciales pueden acceder directamente a entornos cloud incorrectamente configurados y evitar los endpoints más protegidos. Con este acceso, a menudo despliegan herramientas de monitorización y gestión remota (RMM, Remote Monitoring and Management) en lugar de malware, lo que hace que estos ataques sean particularmente difíciles de detectar y desbaratar.

SCATTERED SPIDER: un maestro de las amenazas transversales

Uno de los grupos delictivos más prolíficos en los ataques transversales es SCATTERED SPIDER. A lo largo de 2023 y 2024, SCATTERED SPIDER mostró capacidades de acción muy sofisticas en entornos cloud, usando frecuentemente spear-phishing, modificaciones de políticas y acceso a gestores de contraseñas.

En mayo de este mismo año, CrowdStrike descubrió cómo SCATTERED SPIDER establecía una posición en una instancia de máquina virtual (VM) alojada en la nube a través de un agente de gestión de VM de un servicio cloud. El grupo comprometió credenciales existentes mediante una campaña de phishing para autenticarse en el plano de control de la nube. Una vez dentro, establecieron persistencia.

Este ataque abarcó tres dominios operativos: correo electrónico, gestión de la nube y la propia VM. Como resultado de ello, la huella detectable en cada dominio era mínima y difícil de identificar con métodos de detección basados en firmas tradicionales. Identificar este ataque dependió de una inteligencia de amenazas extensa y del conocimiento previo de las tácticas de SCATTERED SPIDER. Correlacionando la telemetría del plano de control de la nube con las detecciones dentro de la máquina virtual, los técnicos pudieron reconocer y detener la intrusión en curso.

FAMOUS CHOLLIMA, el grupo relacionado con Corea del Norte

El grupo vinculado a Corea del Norte FAMOUS CHOLLIMA supuso este año un desafío único para los técnicos debido a que lanzó una campaña de ataque altamente sofisticada que superaba los límites tecnológicos. En este esquema masivo de amenaza interna, los ciberdelincuentes accedieron a puestos de trabajo mediante documentos de identidad falsificados o robados para eludir verificaciones de antecedentes. Sus currículos a menudo incluían empleos en compañías importantes y seguras, lo que los hacía parecer legítimos.

En abril, CrowdStrike descubrió el primero de varios incidentes en los que FAMOUS CHOLLIMA había amenazado a más de 30 compañías estadounidenses, de diferentes sectores como el aeroespacial, defensa, comercio minorista y tecnología. Aprovechando los datos de un solo incidente, los técnicos de la compañía desarrollaron un plan escalable para cazar esta nueva amenaza interna e identificaron a más de 30 clientes adicionales afectados en dos días.

En muchos casos, el grupo había intentado extraer datos e instalar herramientas RMM utilizando credenciales de red de la empresa para facilitar el acceso no autorizado. Los especialistas de CrowdStrike buscaron herramientas RMM emparejadas con conexiones de red sospechosas para descubrir datos adicionales e identificar comportamientos sospechosos. Para mediados de 2024, el Departamento de Justicia de los EE.UU. acusó a varios individuos involucrados en este esquema, lo que probablemente permitió a ciudadanos norcoreanos recaudar fondos para el gobierno y sus programas de armas. Los esfuerzos coordinados de CrowdStrike con las fuerzas del orden fueron fundamentales para sacar a la luz estas actividades maliciosas y desbaratar esta gran amenaza.

Juntando las piezas

Contrarrestar las amenazas transversales requiere de una conciencia constante de los cambios de comportamiento y operativos, lo que hace que la caza de amenazas impulsada por la inteligencia sea esencial. Detener estos ataques precisa de un enfoque multicapa que involucre personas, procesos y tecnología. Por eso, CrowdStrike recomienda que las organizaciones adopten los siguientes enfoques:

• Visibilidad completa: la visibilidad unificada en toda la empresa (nube, endpoints e identidades) es esencial para detectar y correlacionar ataques transversales. Este enfoque evita que los adversarios se muevan lateralmente, mejora el tiempo de respuesta y reduce la probabilidad de que los incidentes escalen a brechas.
• Integrar la caza transversal: los especialistas trabajan en tiempo real, las 24 horas del día, para buscar de manera proactiva comportamientos maliciosos a través de los planos de seguridad. Al analizar continuamente la actividad de los empleados, pueden detectar desviaciones del comportamiento usual, como el uso atípico de herramientas RMM.
• Centrarse en la identidad: la identidad es uno de los vectores de amenaza de más rápido crecimiento. Para mitigar los riesgos, las empresas deben poner en marcha procesos avanzados de verificación de identidad, como la autenticación multifactor y las verificaciones biométricas. Además de establecer procedimientos de autenticación sólidos, debe establecerse una política de protección de identidad que sea capaz de detectar eventos anómalos de autenticación antes de que se conviertan en una brecha.

En una época de ataques transversales cada vez más sofisticados, depender únicamente de soluciones automatizadas no es suficiente. A medida que estas amenazas sigilosas operan a través de identidad, cloud y endpoints, se requiere una combinación de tecnología avanzada, los conocimientos de la experiencia humana y una telemetría de vanguardia para tomar decisiones proactivas.

Técnicos especialistas y analistas de inteligencia, trabajando en conjunto con herramientas avanzadas, son esenciales para identificar, comprender y neutralizar estos peligros en constante evolución antes de que puedan causar daño.