Los ataques híbridos continúan multiplicándose y perturbando a las organizaciones, como el lanzado hace unos meses por Mango Sandstorm y DEV-1084. Pero hay maneras de detenerlos.
Debemos afrontar los hechos: las estrategias de defensa desplegadas contra los ciberataques generalmente no funcionan. Basándose en firmas, anomalías y reglas diseñadas para detectar y prevenir ataques cibercriminales, no impiden que 7 de cada 10 analistas en el mundo admitan hoy que su organización se ha visto comprometida. ¿Debemos responsabilizar a estos analistas de esta situación y, a través de ellos, culpar a las organizaciones a las que pertenecen? Ciertamente no. Si estamos donde estamos hoy es simplemente porque las superficies de ataque se están expandiendo mucho más rápido que la velocidad de respuesta proporcionada por los analistas y la tecnología a su disposición.
Todas las empresas se han vuelto híbridas… ¡y también los ataques!
Debemos hacer un balance del cambio que se ha producido en nuestro mundo. Todas las empresas han avanzado hacia entornos híbridos y de múltiples nubes. Para los ciberdelincuentes, el regalo es demasiado bueno: es una nueva oportunidad que están aprovechando, desplegando métodos que les permitan escapar de las líneas Maginot erigidas por las organizaciones. Por tanto, una proporción cada vez mayor de los ataques modernos son híbridos. El año pasado, el porcentaje de infracciones basadas en la nube se estimó en casi el 50%. La principal característica de un ataque híbrido es que puede desencadenarse en cualquier punto de la infraestructura, explotando vulnerabilidades o acceso comprometido en varias plataformas o aprovechando recursos escalables de la nube para mejorar su impacto.
El caso del ataque Mango Sandstorm y DEV-1084
Este es el caso del ataque híbrido lanzado por Mango Sandstorm y Storm-1084 que se observó el año pasado. Mango Sandstorm es un actor estatal con estrechos vínculos con el gobierno iraní. Aliado con el grupo Storm-1084, ha hecho de los ataques híbridos su modus operandi, dirigidos tanto a la nube como a los servicios internos de las organizaciones.
El ataque desatado por Mango Sandstorm y Storm-1084 en 2023 se manifestó por primera vez en uno de los centros de datos de la organización objetivo. Los ciberdelincuentes lograron explotar una vulnerabilidad en un servidor expuesto en Internet. Luego tomaron el control remoto de este servidor utilizando un C&C (infraestructura de comando y control) y realizaron el descubrimiento utilizando herramientas nativas de Microsoft. Luego comenzaron una serie de movimientos laterales (basándose en RPC, WMI, RDP, etc.) a través de cuentas comprometidas. Utilizando credenciales robadas, iniciaron sesión en el servidor Azure AD Connect y pudieron acceder a otra cuenta con muchos privilegios. Luego, el ataque pudo progresar dentro de Entra ID y Azure. Se agregaron derechos a una aplicación existente, se manipularon los permisos de las cuentas y una progresión de privilegios permitió a los ciberdelincuentes convertirse en “Global Admin”, es decir, administradores generales del sistema, adquiriendo derechos sobre las suscripciones de Azure.
Lecciones para el futuro
Afortunadamente, el ataque fue frustrado. El nutrido grupo objetivo de Mango Sandstorm y Storm-1084 contaba con un sistema tecnológico de protección que, gracias a la inteligencia artificial, era capaz de detectar lo antes posible cualquier intento de ataque. Esta tecnología de vanguardia permitió identificar actividades sospechosas en la red y el entorno de Entra ID y visualizar movimientos laterales en un tiempo récord. En este caso, el ataque se produjo en varias etapas a lo largo de varios meses, lo que dificulta su detección pero da más tiempo para responder.
Esta aventura, que terminó bien, es rica en lecciones para el futuro. Conviene tener presentes dos puntos en particular. En primer lugar, para defenderse de los ataques híbridos que se han convertido en la norma, es necesario analizar todo el tráfico de la red, el comportamiento de los usuarios y los entornos de nube para detectar y priorizar las ciberamenazas en el entorno híbrido. Al mismo tiempo, debemos identificar comportamientos sospechosos posteriores a la explotación sin depender de firmas que puedan eludirse fácilmente. Todo esto debería ser posible a través de una señal clara y procesable, que brinde a los equipos de seguridad una visión unificada de todas las máquinas y cuentas sospechosas.
También es importante comprender que en los ataques híbridos modernos, las identidades son clave. Son el pegamento entre las diferentes áreas de una empresa y, por tanto, también son muy valiosos para los atacantes al permitirles moverse lateralmente y progresar en sus campañas. Detectar el abuso de privilegios es esencial: esta es otra lección aprendida del ataque a Mango Sandstorm.
