Noticias:

Tanium identifica movimiento lateral detrás de los recientes ataques de Malware

 

Tanium alertó sobre el muy a menudo ignorado “movimiento lateral”, un factor clave detrás de la escala incuantificable de ciberataques realizados en los últimos años, y que muy pocas organizaciones toman en cuenta al adoptar medidas de protección.

Centrando su objetivo en ganar privilegios como vector de propagación de malware como WannaCry y NotPetya, inicialmente la técnica de movimiento lateral es obtener privilegios en un equipo cliente; una vez que un hacker ha logrado acceder a una máquina en la red de la empresa, su objetivo es encontrar identificadores de conexión, conocidos como credenciales, que le darán más derechos para realizar más operaciones maliciosas.

Damien Benazet, Technical Account Management de Tanium, señala que el primer paso comienza con el uso de un pequeño software espía llamado “Credential Dumper”, que recopila las otras credenciales presentes en el equipo para detectar aquellas que tengan mayores derechos de acceso. El objetivo es recopilar más credenciales y con más privilegios, para expandirse gradualmente en el entorno y ganar más poder.

“El objetivo final es tomar el control de tantas máquinas como sea posible, con los mayores privilegios posibles, para tener una red de computadoras y servidores listos para lanzar un ataque o infectarse sin reaccionar. Es mucho más fácil de configurar que un ataque a la red, en gran parte porque es una superficie de ataque que es subestimada en gran medida por los departamentos de TI, para quienes tener visibilidad sobre el tema es muy difícil”, señaló.

Soluciones ordenadas para una amenaza recurrente
Tanium señala que, para protegerse de esta técnica, existen metodos sencillos, partiendo del más obvio que es gestionar adecuadamente las responsabilidades de los usuarios en cada estación de trabajo; la siguiente es cerrar el protocolo SMB entre máquinas cliente, ya que permite que una máquina explore la red en busca de otras máquinas, lo cual es el principal vector de propagación de malware mediante movimientos laterales.

Asimismo, es recomendable configurar la autenticación con una contraseña temporal (aleatoria) para el perfil de administrador local. De esta forma, el atacante no podrá reutilizar la contraseña encontrada, ya que solo se puede usar una vez. También es necesario reforzar la formación de los departamentos de informática en estas técnicas, ya que a menudo el personal de TI, en lugar de usar la cuenta que tiene suficientes privilegios para realizar una operación, prefiere usar su perfil que tiene los derechos máximos, lo que le permite al hacker tomar el control de todas las máquinas de la red rápidamente.

A lo anterior, sumar soluciones como Tanium Threat Response, respaldada por las organizaciones más grandes y sofisticadas del mundo, facilita la colaboración que los equipos de TI necesitan para enfrentar con éxito los desafíos de enfrentan día a día, proporcionando una vista integrada de toda la organización a través de un enfoque unificado que permite a los equipos de seguridad detectar, investigar, y remediar incidencias desde una única plataforma.

“A la luz del éxito de los recientes ataques de malware, las organizaciones deben actuar rápidamente e implementar estas medidas. Al hacerlo, estarán mejor preparados y serán más capaces de evitar que los ciberdelincuentes tomen el control de su red utilizando la técnica de movimiento lateral”, finalizó Benazet.