La exfiltración de datos es un negocio popular para los ciberdelincuentes. Todas las organizaciones, desde agencias gubernamentales hasta pequeñas empresas, tienen datos confidenciales que pueden ser robados para extorsión
La exfiltración de datos es un negocio popular para los ciberdelincuentes. Todas las organizaciones, desde agencias gubernamentales hasta pequeñas empresas, tienen datos confidenciales que pueden ser robados para extorsión, ventaja competitiva o más incursiones en el sistema de una empresa. Ahora es la técnica preferida de los actores de ransomware. Algunos grupos de Ransomware-as-a-Service (RaaS) incluso han sido pioneros en un nuevo tipo de “extorsión”, que se centra únicamente en el robo de datos sin encriptación.
Dinero fácil
En un fabrica de productos farmacéuticos en América Latina, Darktrace detectó recientemente la exfiltración de archivos críticos de la empresa, los cuales serán explorados en este blog.
La organización era un blanco atractivo por dos razones. En primer lugar, las empresas farmacéuticas poseen una gran cantidad de datos valiosos de pacientes y de propiedad intelectual, y este último año han sido objeto de ataques sostenidos a medida que los actores de amenazas y los estados naciona se infiltran en la investigación y distribución de vacunas.
En segundo lugar, América Latina es un tesoro para los ciberdelincuentes, gracias al enorme crecimiento económico de los últimos años, la digitalización de las principales industrias, junto con pólizas de seguro cibernético de calidad inferior y regulaciones prácticamente inexistentes.
Incluso antes de la pandemia de COVID-19, Brasil y México se encontraban entre los diez países más afectados de acuerdo con la Europol. Desde entonces, los casos se han disparado y muchas empresas siguen sin estar preparadas y enfrentan un apoyo y una presión limitada por parte de los organismos gubernamentales. Sorprendentemente, a pesar de que ha sufrido pérdidas estimadas de casi 8 mil millones de dólares, Brasil todavía no tiene una ley de protección de datos en vigor.
Adicional a los delitos financieros, la región de LATAM ha sido blanco de grupos patrocinados por el estado vinculados a Rusia, China e Irán. El ciberespionaje se utiliza como método para ganar ventaja en las negociaciones y promover los intereses extranjeros en la inversión y el comercio.
Además, a medida que las cadenas de suministro en el mundo delictivo se ven afectadas por los efectos de la pandemia, el crimen organizado puede comenzar a aprovechar el mundo digital, en particular el fraude y el phishing, como una posible fuente de ingresos. La Familia Michoacana, un notorio cartel en México, ha comenzado a reclutar hackers de la Dark Web.
A pesar de la cantidad de amenazas que enfrenta América Latina, las organizaciones han tardado en adoptar tecnología defensiva. Entonces, cuando el atacante en el caso siguiente eligió una pequeña organización en la región de LATAM, probablemente esperaban enfrentar solo herramientas de seguridad tradicionales basadas en firmas. Creyendo que esta organización sería una presa fácil, con poca resistencia y grandes ganancias, el actor lanzó sus primeros pasos.
Cómo se desarrolló la intrusión
Durante una Prueba de Valor con la empresa, Darktrace detectó una actividad inusual de un servidor, luego de la conectividad remota externa.
Figura 1. cronología de ataque
El ataque comenzó cuando un servidor interno recibió una conexión inusual a través de RDP desde una IP externa. La conexión duró cinco horas. A continuación, la IP externa estableció una nueva sesión SMB en el mismo servidor utilizando credenciales administrativas. La IP externa aprovechó SMB para acceder a un archivo, que parecía contener contraseñas no cifradas.
A partir de ahí, la IP externa descargó más de 18.000 archivos a través de SMB. Según los nombres de los archivos, parece que los datos eran muy confidenciales. En total, la IP externa descargó alrededor de 150 MB de datos del servidor interno.
Actividad inusual seguida de conexiones remotas
La IA de autoaprendizaje detectó que la dirección IP era 100% rara para la organización y el servidor. La transferencia de datos también se detectó como inusual para el “patrón de vida” del dispositivo. Desafortunadamente, como Antigena estaba siendo probada en modo pasivo, Darktrace no pudo intervenir e interrumpir el ataque.
Sin embargo, Darktrace disparó una serie de alertas de alta confianza para advertir al equipo de seguridad. La siguiente figura muestra la actividad de cinco días de un dispositivo de ejemplo en la misma situación, con un gran volumen de alertas agrupadas. Estos reflejan el aumento inusual en el volumen transferido externamente desde un dispositivo de violación.[/vc_column_text][image_with_animation image_url=»14834″ alignment=»» animation=»Fade In» border_radius=»none» box_shadow=»none» max_width=»75%»][vc_column_text]65 % de la población colombiana ahora usa Internet, en comparación con solo el 3% en 2000.[/vc_column_text][image_with_animation image_url=»14833″ alignment=»» animation=»Fade In» border_radius=»none» box_shadow=»none» max_width=»75%»][vc_column_text]
Figura 2: un dispositivo similar recibió una conexión de desktop remoto entrante, resaltada por la primera violación del modelo (punto naranja). Poco después, el dispositivo externo accedió a un archivo de contraseña sin cifrar. Al mismo tiempo, el dispositivo transfirió un volumen inusual de datos a una IP de fuente externa poco común.
Métodos de exfiltración de datos: RDP y acceso a archivos con contraseña
El atacante logró eludir todas las demás herramientas de seguridad existentes en la empresa. Lo hicieron con credenciales administrativas legítimas, que se utilizaron para establecer las conexiones RDP y SMB. Las credenciales de RDP se compran fácilmente en la Dark Web y han demostrado ser una forma popular de acceso inicial, especialmente este año, ya que los empleados continúan trabajando de forma remota.
Además, la administración incorrecta de contraseñas puede desbloquear el patrimonio digital de una organización. Uno de los archivos a los que se accedió era un archivo de contraseñas, lo que permitía al actor escalar rápidamente los privilegios. Después de este punto, solo una herramienta defensiva impulsada por IA tendría la habilidad de mantenerse al día con la velocidad de la intrusión.
Aprovechar protocolos comunes como SMB para exfiltrar datos es una táctica común. Los servidores expuestos a Internet siguen siendo un riesgo importante para las organizaciones, ya que los atacantes explotan los puertos abiertos y no utilizados.
Los archivos transferidos durante la actividad se guardaron como recibos con los nombres de socios y clientes. Esto es extremadamente peligroso y podría haber puesto en grave riesgo la reputación de la empresa. Afortunadamente, la IA de autoaprendizaje detectó las acciones maliciosas y advirtió al equipo de seguridad de inmediato, lo que les permitió detener una mayor exfiltración y cualquier actividad de seguimiento.
Protección de datos sensibles
El ejemplo anterior demuestra que incluso las empresas más pequeñas pueden ser víctimas de un ataque. Las pequeñas y medianas empresas se convierten en un blanco porque poseen propiedad intelectual y datos importantes, pero a menudo carecen de seguridad y recursos sólidos. Esto los convierte en capturas simples en comparación con los grandes establecimientos o gobiernos.
La IA de Darktrace tiene la capacidad de detectar la exfiltración de datos maliciosos a partir de cambios sutiles en el comportamiento. En este caso, el servidor de destino transfiere datos regularmente dentro y fuera de la organización, sin embargo, Darktrace calificó a la IP externa entrante con un puntaje de rareza alta. En otras palabras, Darktrace consideró la actividad de transferencia de datos muy inusual y fuera del “patrón de vida” normal del servidor.
Esto permitió al equipo de seguridad responder a la amenaza y desconectar el servidor para una mayor investigación. Si Darktrace Antigena hubiera estado activa en el entorno, habría respondido segundos después del compromiso inicial, deteniendo la amenaza a la velocidad de la máquina.
Gracias a la analista de Darktrace Kendra González Duran por sus conocimientos sobre el hallazgo de la amenaza anterior.
Para mayor información contáctenos en: mercadeo@itelca.com.co
Detección de modelos de Darktrace
- Compliance / Incoming Remote Desktop
- Compliance / Possible Unencrypted Password File On Server
- Anomalous Connection/ Data Sent to Rare Domain
Técnicas de MITRE ATT&CK observadas:
Initial Access | T1078 – Valid Accounts |
Credential Access | T1552.001 – Unsecured Credentials: Credentials In Files |
Exfiltration | T1048.003 – Exfiltrate Over Alterantive Protocol: Exfiltration Over Unencrypted/Obfuscated Non-C2 Protocol |