Tecnología

Los piratas informáticos están encontrando formas de evadir las últimas herramientas de ciberseguridad

Red light illuminates the keys of a laptop computer. Photographer: Andrey Rudakov/Bloomberg

Llamado software de detección y respuesta de puntos finales , está diseñado para detectar signos tempranos de actividad maliciosa en computadoras portátiles, servidores y otros dispositivos

Bloomberg

A medida que la piratería se ha vuelto más destructiva y generalizada, un poderoso tipo de herramienta de compañías como CrowdStrike Holdings Inc. y Microsoft Corp. se ha convertido en una bendición para la industria de la seguridad cibernética.

Llamado software de detección y respuesta de puntos finales , está diseñado para detectar signos tempranos de actividad maliciosa en computadoras portátiles, servidores y otros dispositivos, "puntos finales" en una red informática, y bloquearlos antes de que los intrusos puedan robar datos o bloquear las máquinas.

Pero los expertos dicen que los piratas informáticos han desarrollado soluciones alternativas para algunas formas de la tecnología, lo que les permite eludir productos que se han convertido en el estándar de oro para proteger sistemas críticos.

Por ejemplo, en los últimos dos años, Mandiant , que es parte de la división Google Cloud de Alphabet Inc., investigó 84 infracciones en las que se manipuló o deshabilitó EDR u otro software de seguridad de punto final, dijo Tyler McLellan, analista principal de amenazas de la empresa.

Los hallazgos representan la última evolución de un juego del gato y el ratón que se ha desarrollado durante décadas, ya que los piratas informáticos adaptan sus técnicas para superar las protecciones de seguridad cibernética más recientes, según Mark Curphey, quien ocupó altos cargos en McAfee y Microsoft y ahora es un experto en seguridad cibernética. empresario en el Reino Unido.

“Hackear las herramientas de protección de seguridad no es nada nuevo”, dijo, y agregó que “el premio, si tiene éxito, es el acceso a todos los sistemas que las usan, por definición, sistemas que vale la pena proteger”.

Los investigadores de varias empresas de seguridad cibernética dijeron que la cantidad de ataques en los que se deshabilita o se omite EDR es pequeña pero creciente, y que los piratas informáticos se están volviendo más ingeniosos para encontrar formas de eludir las protecciones más sólidas que brinda.

Microsoft reveló en diciembre en una publicación de blog que los piratas informáticos engañaron a la empresa para que aplicara su sello de autenticidad al malware, que luego se utilizó para desactivar el EDR de la empresa y otras herramientas de seguridad en las redes de las víctimas. Microsoft suspendió las cuentas de desarrolladores de terceros involucradas en la artimaña y dijo que la compañía está "trabajando en soluciones a largo plazo para abordar estas prácticas engañosas y evitar futuros impactos en los clientes".

En febrero, Arctic Wolf Networks detalló un caso que investigó a fines del año pasado en el que los piratas informáticos del grupo de ransomware Lorenz se vieron bloqueados inicialmente por el EDR de la víctima. Los piratas informáticos se reagruparon e implementaron una herramienta forense digital gratuita que les permitió acceder a la memoria de las computadoras directamente e implementar su ransomware con éxito, sin pasar por el EDR, dijo la compañía. Arctic Wolf no identificó a la víctima ni al EDR afectado.

Y en abril, Sophos Group reveló una nueva pieza de malware que la empresa con sede en el Reino Unido descubrió que se utilizó para deshabilitar las herramientas EDR de Microsoft, la propia Sophos y varias otras compañías antes de implementar el ransomware Lockbit y Medusa Locker. “Evitar EDR y deshabilitar el software de seguridad es claramente una táctica en aumento”, dijo Christopher Budd, gerente senior de investigación de amenazas. “Debido a la naturaleza de este tipo de ataque, es particularmente difícil de detectar ya que se dirige a las mismas herramientas que detectan y previenen los ataques cibernéticos”.

El mercado de EDR y otras nuevas tecnologías de seguridad para terminales creció un 27 % hasta alcanzar los US$8600 millones en todo el mundo el año pasado, liderado por CrowdStrike y Microsoft, según IDC.

Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike, dijo que el creciente número de ataques contra el software EDR muestra que los piratas informáticos “han estado evolucionando”. Muchos de los ataques que CrowdStrike ha rastreado, contra sus productos y los ofrecidos por la competencia, involucran configuraciones incorrectas de los sistemas de los clientes o vulnerabilidades profundas en el software o el firmware, señales de que los piratas informáticos tienen que trabajar más para ingresar a las redes objetivo, dijo.

“Esta es una carrera hacia el fondo de la pila”, dijo Meyers. “Estamos tratando de bajar más y más y más y más cerca del hardware, y cuanto más te acercas al hardware, más difícil es detener un ataque”.

Un representante de Microsoft se negó a comentar para esta historia.

Hace una década, los fabricantes de software antivirus eran los principales proveedores de productos de seguridad para PC y otros puntos finales. Su popularidad disminuyó a medida que los ataques cada vez más avanzados expusieron las debilidades de las tecnologías que dependían de que los analistas crearan manualmente "firmas" digitales de nuevas variedades de malware para bloquearlas, según los expertos en seguridad cibernética.

El auge del ransomware y otros ataques destructivos ha estimulado la demanda de EDR y tecnologías similares que apuntan a detectar y bloquear infecciones antes. Las herramientas buscan más señales de actividad maliciosa y automatizan muchas de las tareas de investigación y reparación de infracciones que consumen mucho tiempo.

Un incidente no informado anteriormente que Bloomberg News descubrió ocurrió en octubre, cuando CSIS Security Group, con sede en Copenhague, Dinamarca, investigó la violación de una empresa de fabricación europea.

Los piratas informáticos explotaron una debilidad previamente desconocida en EDR de Microsoft y empaquetaron el malware de tal manera que fue detectado por la herramienta de seguridad, que alertó al equipo de TI de la víctima que el ataque había sido bloqueado, según Jan Kaastrup, director de innovación. para el CSIS que supervisó la investigación . Pero los piratas informáticos no fueron detenidos y pudieron recorrer la red durante tres semanas, dijo.

La brecha no se descubrió hasta que la víctima detectó datos que salían de su red corporativa y se puso en contacto con la empresa de seguridad danesa. Kaastrup se negó a identificar a la víctima, pero permitió que Bloomberg revisara una copia anónima del informe del incidente. La firma informó el problema a Microsoft, que se negó a comentar con Bloomberg sobre el asunto.

La lección de los incidentes recientes, dijo, es simple: la tecnología no puede hacer mucho contra los piratas informáticos determinados.

“El software de seguridad no puede estar solo: necesita ojos en la pantalla combinados con tecnología”, dijo. EDR “es mucho mejor que el software antivirus. Así que seguro que lo necesitas. Simplemente no es la panacea que algunos piensan que es”.

TEMAS


tecnologia - ransomware - delitos