Caso Solarwinds: Sunburst es sólo la punta del iceberg

Ejército norteamericano, Departamento de Estado, la Oficina Presidencial, el Pentágono o el Departamento del Tesoro norteamericano son sólo algunos de los organismos que han podido verse afectados por el ciberataque con el malware Sunburst a la compañía Solarwinds, un proveedor de software que ayuda a sus clientes a administrar redes, sistemas e infraestructura.

El malware Sunburst ha tardado más de 9 meses en descubrirse. Según Solarwinds, 18.000 de sus clientes se han visto afectados por este ciberataque. Durante este tiempo, los hackers responsables de Sunburst indudablemente habrán recopilado las credenciales de usuarios de miles de empresas y tendrán el potencial de comprometer las cuentas de millones de usuarios en el mundo. Y es casi seguro que esas credenciales robadas terminen a la venta en la dark web.

El Foro Económico Mundial (WEF) estima que el ciberdelito le cuesta a la economía global  2.9 millones de dólares por minuto, y aproximadamente el 80 por ciento de los ataques están dirigidos al robo de contraseñas, es decir, en otras palabras, a las credenciales de los usuarios. Sin embargo, para que un ataque tenga éxito, una vez que el Malware Sunburst o cualquier otro tipo de malware – haya penetrado en la red de la víctima, éste necesita comunicarse con un servidor remoto de comando y control (C2).

El malware Sunburst ha tardado más de 9 meses en descubrirse. Según Solarwinds, 18.000 de sus clientes se han visto afectados por este ciberataque

Pero gracias a la tecnología, no estamos indefensos contra este tipo de ataques, porque existen herramientas de detección y respuesta de red (en inglés Network Detection & Response – NDR) para detectar y bloquear cualquier comunicación anómala con un servidor de comando y control. Las herramientas NDR permiten a las organizaciones ver la punta del iceberg y, por lo tanto, si reaccionan a tiempo, pueden evitar el daño que puede resultarse de la fuga de datos y el compromiso continuo de sus sistemas y seguridad.

El malware Sunburst se ha categorizado como un ataque a la cadena de suministro, y dentro de esta categoría hay varios otros tipos. En este caso, se le conoce específicamente como un ataque de software de terceros (third-party software providers attack en inglés). Este tipo de ataques no es nuevo. Microsoft ha estado advirtiendo sobre ellos desde 1999.

Existen muchas acciones que las organizaciones pueden tomar para protegerse contra ataques similares a Sunburst. Las siguientes tres medidas contribuyen en gran medida a reforzar la protección:

  • Implementar NDR para obtener visibilidad de cualquier actividad inusual que tenga lugar en las redes. Hoy en día, hay muchos indicadores de actividades sospechosas que los sistemas NDR pueden detectar, como la comunicación con un servidor C2, el reconocimiento de la red, las búsquedas de DNS inusuales y la elevación de los privilegios de los usuarios.
  • Además, utilizar soluciones de autenticación multifactor (MFA), especialmente para usuarios administrativos, a fin de protegerse contra el acceso no autorizado a la información y sistemas sensibles. Las soluciones MFA evitan que los piratas informáticos obtengan acceso, incluso si han logrado robar o adivinar las contraseñas estáticas. No es algo reciente, los sistemas MFA han existido durante más de 30 años y los más recientes y avanzados están adoptando Webauthn o FIDO, lo que aumenta la seguridad, mejora la experiencia del usuario e incluso llega a eliminar las contraseñas estáticas, el eslabón más débil de la cadena de seguridad. La autenticación Passwordless es el camino para seguir para un futuro más seguro.
  • Por último, emplear servicios de contraciberespionaje que existen y que buscan proactivamente credenciales robadas en la dark y deep web y las recuperan de los servidores C2 antes de que se utilicen para cometer un fraudo y, así, neutralizan el impacto del robo. Algunos de estos servicios van tan lejos como para recuperar detalles de las máquinas infectadas, con ID de las máquinas, las direcciones IP, tipos de malware e incluso indican dónde están instalados en los dispositivos de las víctimas.

Por Zane Ryan, CEO de DotForce