LAS 4 CLAVES DE UN EXPLOIT KIT PARA ATACARTE Y CÓMO DEBES DEFENDERTE

Seguramente te has encontrado en situaciones donde tu equipo de cómputo se ha infectado con algún virus pero desconoces como fue que se dio esa infección. O te has encontrado con usuarios que tienen su equipo infectado pero te aseguran que ellos no ejecutaron ningún programa.

Tampoco abrieron documentos de dudosa procedencia, no bajan programas de internet y mucho menos entran a páginas de pornografía o juegos gratis. Si todo esto es cierto… ¿entonces cómo se infectaron?

Anteriormente la forma más utilizada de infección de un equipo de cómputo era mediante la ejecución  de un archivo, el cual en pocas palabras contenía el virus que infectaría tu equipo. Hoy en día ésta técnica no ha desaparecido del todo, pero sí ha disminuido notoriamente su utilización.

Una de las técnicas que ha aumentado notoriamente es el uso de Exploit Kits.

Pues, mediante los Exploit Kits el atacante no requiere que el usuario instale un programa, ejecute un archivo o que conecte una USB; para el usuario esta infección pasará completamente desapercibida y el ataque se produce solo.

Un Exploit Kit, se puede interpretar como un contenedor de programas que aprovechan vulnerabilidades de sistemas operativos o aplicaciones. Estos Exploit Kits se colocan detrás de un sitio web falso o legítimo y aprovechan la información que entregan los navegadores de los usuarios sobre los programas que tienen en sus equipos de cómputo.

Una vez que el Exploit Kit obtiene la información sobre los programas instalados con detalles completos como la versión que se está ejecutando, éste decide que programa es el ideal para aprovechar una vulnerabilidad o debilidad de código del sistema operativo o de alguno o varios de los programas instalados; para así realizar una infección completamente silenciosa y lograr adentrarse en la información de tu empresa.

¿Pero, cómo trabaja un atacante con el Exploit Kit?

Los atacantes realizan la infección en 4 principales fases:

1) Creación del sitio

Lo pueden hacer de la siguiente forma:

  • Crean un sitio web ocultando el Exploit Kit.
  • Agregan código a una página web legítima, para que cuando se acceda a ella se realice una redirección al sitio malicioso donde está alojado el Exploit Kit.
  • Generan anuncios en internet “banners” que al ser mostrados por los navegadores web, realizan una redirección hacia el sitio web malicioso donde se aloja el Exploit Kit.

2) Atracción del usuario

Una vez que los atacantes cuentan con su sitio web “víctima”, lo que necesitan es atraer al usuario:

  • Mediante el envío de correos electrónicos que traigan un link para acceder a la página. Intentado engañar a los usuarios para que den clic.
  • Mostrando anuncios en el buscador de google. Estos se muestran regularmente en los primeros resultados de búsqueda y son”identicos” a los originales.
  • Infectando sitios web legítimos para que el usuario acceda de forma natural y no sospeche de actividades desconocidas.

3) Aprovechamiento de una vulnerabilidad o debilidad en código

Una vez que el usuario ha sido re direccionado a un sitio web malicioso, el atacante ahora está interesado en conocer que aplicaciones y que versiones están instaladas en el equipo, aquí es donde comienza a jugar el Exploit Kit:

  • Mediante una vulnerabilidad del navegador web obtendrá información de aplicaciones instaladas y sus versiones como pueden ser: Java, Adobe Reader, Adobe Flash, Windows Media, etc…
  • Con la información anterior, el Exploit Kit elige de forma automática que información o secuencia de datos enviará al equipo para aprovechar alguna debilidad de código de las aplicaciones reconocidas o en el mismo sistema operativo.
  • Estas instrucciones realizarán actividades en el equipo, como descargar un programa de forma silenciosa, abrir algún puerto para establecer una conexión, o incluso comenzar el proceso de cifrado de Ransomware. Todo esto sucederá sin que el usuario lo percate.

4) Infección del equipo

El último paso es el cumplimiento del objetivo del atacante, tras:

  • Realizar conexiones a otros equipos de la red para obtener información importante.
  • Revisar los archivos y la información que existe en el equipo atacado y extraerla.
  • Cifrar todo la información que existe en el equipo y solicitar el paque de un rescate para recuperar el acceso.
  • Entorpecer las actividades del usuario ralentizando el equipo de cómputo.

Asegúrate de proteger a tus usuarios desde el principio con estas cinco recomendaciones que te ayudarán a cerrarle la puerta a los atacantes.

Este tipo de ataques han aumentado su popularidad en los últimos años, algunos de los más populares son: SweetOrange, Angler, Magnitude, Rig, Nuclear.

Actualmente se conocen más de 70 exploit kits con diferentes nombres.

Si quieres reducir la probabilidad de infección mediante este tipo de ataques, aquí te dejo 5 tips de seguridad que puedes aplicar para reducir la probabilidad de infección mediante Exploit Kits.

TIP 1) Mantén tu software actualizado con los últimos parches de seguridad.

No solo te enfoques en los parches del sistema operativo, también actualiza los programas instalados y sobre todo asegúrate de tener actualizados tus navegadores.

TIP 2) Define el uso de un solo navegador en tu institución.

Si te es posible, define el uso de un solo navegador en tu organización; de esta forma reducirás la probabilidad de ataques sobre un solo navegador y no aumentarás la superficie de riesgo al manejar múltiples navegadores.

TIP 3) Evita trabajar con sistemas operativos legacy.

Aquellos sistemas operativos ya no soportados por el fabricante son los más débiles, dado que ya no cuentan con parches de seguridad para nuevas vulnerabilidades que se detecten, por lo que estarás completamente desprotegido. Recuerda Windows XP y Windows 2003 ya no tienen soporte ni actualizaciones de seguridad por parte de Microsoft. Si es necesario que sigas trabajando con ellos busca una solución que te otorgue seguridad para esos ambientes.

TIP 4) Protege a nivel perímetro la navegación del usuario.

Instala en tu organización una solución de seguridad a nivel perímetro que escanee en tiempo real la navegación del usuario, identificando vulnerabilidades en protocolo y aplicaciones que serán aprovechadas por los Exploit Kits. Si logras contar con una solución que tenga firmas de detección de Exploit Kits impleméntala y podrás reducir aún más el ataque en sus primeras fases.

TIP 5) Bloquea los advertisements.

Uno de los métodos más comunes para llevar al usuario al sitio malicioso es mediante el uso de pop-ups de anuncios en internet; adquiere una solución para su bloqueo.

¿Qué esperas? ¡Es tiempo de cerrar el camino a los atacantes protegiendo a los usuarios de tu organización! Si tienes más consejos compartelos aquí.

No dejes de aplicar estas recomendaciones para disminuir el riesgo de ser infectado y nunca dejes de confirmar que los usuarios están siguiendo las mejores prácticas. Si tienes dudas de cómo empezar a complementar tu estrategia de seguridad con protección a nivel endpoint  o de que foma puedes implementar las herramientas de seguridad para alinearlas a los objetivos de negocio puedes agendar una asesoría gratuita conmigo aquí. 

cta-dummies

Deja un comentario