https://mail.google.com/mail/u/0/?ui=2&ik=3ab76eea9c&view=att&th=1648a6d4d6c2fa40&attid=0.1&disp=safe&zw

Son la pesadilla de las empresas y mueven millones de dólares: cómo funcionan los grupos hackers, qué buscan y cuáles son sus estrategias

 

Así operan por dentro los grupos de hackers que actualmente son la pesadillas de las empresas.

El ataque informático más resonante de los últimos tiempos estuvo a cargo de Lapsus$, que atacó a MercadoLibre y Globant. Antes, habían sido afectadas la Cámara de Senadores y el Renaper. Cómo funcionan por dentro estos grupos de hacking, qué buscan y cuáles son sus estrategias de ataque.

FASE 1: RECONOCIMIENTO

En esta fase preliminar, los hackers informáticos identifican un objetivo vulnerable y trabajan cómo explotarloEn este momento se realizan los primeros intentos de phishing dirigidos y los primeros scans de vulnerabilidades e infraestructura de software y hardware. Así como también la búsqueda de información pública sobre la empresa.

FASE 2: PRIMER ATAQUE Y MOVIMIENTOS LATERALES

Ahora se inicia el primer despliegue del ataqueEsto implica la creación de correos electrónicos creíbles para spear phishing con información veraz de un proveedor conocido u otro contacto comercial. Otra táctica es crear páginas web falsas que imiten una red interna de la empresa. Esto tiene como objetivo robar credenciales o acercar una descarga de malware de manera más velada.

FASE 3: EXPLOTACIÓN DE LA VULNERABILIDAD

Cuando el atacante consigue acceso, por ejemplo con credenciales robadas, empieza a moverse por redes privadas virtuales (VPN), servidores, intranets y donde quiera que pueda colarseSi el atacante usó malware en el paso previo, por ejemplo instalando un RAT (herramienta de acceso remoto), ahora comienza a utilizarlo. El hacker explora la red objetivo y obtiene una mejor idea del flujo de tráfico en ella, qué sistemas están conectados con cuáles y cómo pueden explotarse.

FASE 4: PERSISTENCIA Y BACKDOORS

Ahora, el atacante asegura el acceso continuo a la red. Para lograr esto, el hacker instalará una puerta trasera persistente, creará cuentas de administrador en la red y deshabilitará las reglas del firewall. Incluso pueden activar el acceso de escritorio remoto en servidores y otros sistemas en la red.

FASE 5: COMANDO Y CONTROL

Una vez que el atacante tiene acceso irrestricto a la red desde fuera de la infraestructura corporativa, comienza la fase de comando y control de las funciones de la IT corporativa.

FASE 6: OBJETIVO FINAL

Finalmente, el actor malicioso puede concretar los objetivos primordiales detrás del ataqueSe puede tratar del robo o filtración de información sensible, de la instalación de ransomware y posterior pedido de rescate o de una operación para simplemente dañar a una empresa.

FASE 7: LIMPIEZA Y DESPEDIDA

Los atacantes pueden estar operando durante mucho tiempo dentro de una red, de manera horizontal, hasta que finalmente se lanza el ataque en cuestión. Una vez que el objetivo final está cumplido, los atacantes abandonan la presencia en la red y tratan de cubrir sus huellas. Por lo general, se dejan backdoors que luego son o bien reutilizados o bien vendidos a otros atacantes con interés en ingresar en la entidad.



infotechnology