La extracción de datos en los ataques dirigidos

Macky Cruz (Technical Communications)

La extracción de datos es la transferencia no autorizada de información sensible desde un punto de la red a una ubicación controlada por un actor amenaza. Precisamente porque los datos se mueven normalmente dentro y fuera de las empresas on line, la extracción de datos puede asemejarse al tráfico de red normal, haciendo difícil la detección de sus intentos por parte de los grupos de seguridad.

data-exfiltration

Fig.1 Diagrama de ataque dirigido

Costes relacionados con la extracción de datos

Los costes del ciberespionaje dirigido a una organización sólo se ven claros una vez causados. Los cálculos del riesgo incluyen los gastos iniciales del descubrimiento de la brecha: actividades de respuesta al incidente, gestión de la crisis y penas impuestas al incumplimiento.

Perder ventaja competitiva en el caso de que la información confidencial sea vendida a una empresa de la competencia puede amenazar la supervivencia de la misma a gran escala. La «pérdida» representa no solo los gastos de la investigación y desarrollo del producto, sino también de  las oportunidades de ventas y liderazgo en el mercado.

Además, como se ejemplifica en los ataques de Shadow Network , los atacantes lograron extraer documentos clasificados como secretos, confidenciales y restringidos. Documentos etiquetados como tal, cuando se exponen públicamente, pueden poner en peligro la seguridad nacional. Por ejemplo, documentos confidenciales con datos relacionados con diseño, creación y uso de materiales nucleares o armas.

 

Variados métodos de extracción de datos

Mientras que el impacto de los ataques es perceptible, no lo es el esfuerzo de desviar los datos desde dentro de una red de infiltrados.

Recientemente publicamos un informe sobre una campaña de ataques dirigidos que utiliza EvilGrab, donde actores amenaza se introducen por la «puerta trasera» y pueden capturar las pulsaciones del teclado, así como video y audio del entorno del sistema, utilizando cámaras de video y micrófonos audio adjuntos. Estas características son parte integrante de cualquier troyano de acceso remoto que se precie. Como con las actividades de extracción de datos típica, esta información robada puede entonces subirse a un servidor remoto de fácil acceso por el actor amenaza.

Una forma de hacerlo es utilizar las capacidades de transferencia de archivos de acceso remoto de los troyanos, que son malware que permite a un usuario remoto tener control total de un sistema comprometido. Los troyanos de acceso remoto u otras herramientas de ataque similares probablemente ya estarán en uso de todas formas, porque el paso anterior a un ataque dirigido requiere comunicación y control en tiempo real por parte del atacante del sistema comprometido.

Los atacantes pueden también abusar de legítimas características de Windows. Por ejemplo, los atacantes pueden servirse de WMI (Windows Management Instrumentation) para monitorizar y capturar archivos recientemente abiertos. El atacante puede utilizar FTP o HTTP para enviar el archivo/s con el fin de engañar a los administradores analizando el tráfico de red  cuando la comunicación es legítima. Alternativamente, el atacante puede usar Tor para enmascarar la ubicación y el tráfico.

Nuestros investigadores predicen que en el futuro  los atacantes se centrarán no sólo en robar datos sino en modificarlos, convirtiendo el objetivo principal de los ataques de espionaje en sabotaje. Nuestro reciente informe Estracción de datos: Cómo los actores amenaza roban tus datos detalla sobre los tipos de herramientos y técnicas que se usan en este tipo de campañas de ataques dirigidos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.