Recientemente, el Equipo de Preparación para Emergencias Informáticas de Estados Unidos emitió advertencias sobre ataques a empresas en los sectores de energía, aviación y otros. En este artículo, discutiremos por qué estos ataques son importantes y cómo los profesionales de seguridad pueden responder.

Puede sonar como algo sacado de una novela de Tom Clancy, pero la situación es demasiado real. Hackers rusos han atacado agencias gubernamentales de Estados Unidos, así como empresas en el espacio infraestructural, como aquellas en los sectores de “energía, nuclear, instalaciones comerciales, agua, aviación y fabricación crítica”, según el Equipo de Preparación para Emergencias Informáticas de Estados Unidos (CERT). El anuncio de CERT contiene datos exhaustivos sobre la magnitud de los ataques que, aún más perturbador, fueron llevados a cabo por el propio gobierno ruso en lugar de simples hackers solitarios. Lo más preocupante de todo es el hecho de que estas actividades podrían haber resultado en que los rusos cerraran deliberadamente plantas de energía si así lo hubieran elegido.

Independientemente de si trabajas en las industrias afectadas, es importante comprender los detalles del ataque y qué consejos ha proporcionado CERT para ayudar a las organizaciones a asegurar mejor sus perímetros. Ayer podrían haberse dirigido a la industria de la energía, pero mañana podría ser finanzas, educación, salud u otros sectores. Cualquier organización con activos puede caer presa de este u otros esfuerzos. No necesariamente tienen que ser los rusos detrás de estas posibles amenazas; podrían ser cualquier hacker con conocimientos similares sobre cómo funcionan estas operaciones, y las técnicas involucradas a menudo se comparten y mejoran en todo el mundo.

Las tácticas utilizadas

Los rusos utilizaron una serie de técnicas tecnológicas maliciosas para comprometer con éxito a sus objetivos, que fueron elegidos deliberadamente en lugar de al azar. Estas tácticas incluyeron:

• Reconocimiento de código abierto y de red para obtener información sobre los objetivos.
• Correos electrónicos de phishing dirigidos (spear-phishing) desde cuentas de correo comprometidas con el objetivo de obtener información de la cuenta.
• Domínios “watering hole” en los que los sitios a los que accedía el objetivo fueron comprometidos para luego obtener datos confidenciales cuando las personas conectadas a esos sitios.
• Robo de credenciales de usuario a través del tráfico de red explotado.
• Compromiso del host a través de técnicas de explotación.

Lo que debes hacer para proteger tu organización

CERT proporciona una lista completa y exhaustiva de pasos que puedes tomar, pero aquí hay un resumen. Recomiendan que las organizaciones “revisen las direcciones IP, los nombres de dominio, los hashes de archivos y las firmas YARA y Snort [proporcionadas en el enlace de CERT] y agreguen las IP a su lista de vigilancia [además de revisar el tráfico del perímetro de la red] para determinar si se está produciendo actividad maliciosa dentro de su organización”. CERT también proporciona los nombres de archivo de las aplicaciones utilizadas por los atacantes. Además, esta información se puede buscar en los registros del sistema de todo tipo (servidores de archivos o web, estaciones de trabajo, dispositivos IDS/IPS, firewalls, enrutadores, sistemas de correo electrónico, etc.) para detectar actividad maliciosa.

Aquí hay algunas otras sugerencias para mantener segura tu empresa:

1. Enfócate en tus cuentas. Reduce el número de cuentas de administrador de dominio y empresa. Tanto para administradores como para usuarios, debes restringir los derechos de acceso al mínimo necesario para realizar el trabajo. Los administradores deben utilizar cuentas de usuario estándar para actividades diarias regulares (como correo electrónico o utilizar aplicaciones de Microsoft Office). Utiliza una política de contraseñas para exigir contraseñas complejas para todos los usuarios. Si sospechas de una intrusión, restablece inmediatamente todas las contraseñas de las cuentas.

Recuerda, la seguridad cibernética es un tema serio y todos debemos tomar medidas para proteger nuestras organizaciones. Mantente informado sobre las últimas amenazas y sigue las recomendaciones de expertos en seguridad como CERT para mantener tus sistemas seguros.

Fuente del artículo: TechRepublic