Blog de WatchGuard

Cómo los MSPs pueden protegerse frente a nuevas TTPs de los estados

Las agencias estadounidenses FBI y NSA y el NCSC del Reino Unido han publicado el pasado mes de mayo un informe en el que alertan que grupos vinculados a los servicios de inteligencia de la Federación Rusa (SVR) están llevando a cabo nuevos y peligrosos ciberataques, en los que cambian sus Tácticas, Técnicas y Procedimientos (TTP) habituales.

El informe, denominado Further TTPs associated with SVR cyber actors ofrece detalles de esas nuevas TTPs, cita a los grupos relacionados con Rusia (APT29, Cozy Bear y Dukes) y los responsabiliza de grandes ciberataques recientes. En particular, afirma que el SVR utiliza una variedad de herramientas y técnicas contra objetivos extranjeros gubernamentales, diplomáticos, sanitarios y energéticos para obtener información de inteligencia. También advierte que son muy sofisticados y cuentan con suficientes capacidades para perjudicar a estados, MSPs y organizaciones de todo el mundo.

Vulnerabilidades y cadena de suministro para obtener acceso

Los analistas destacan que el SVR utiliza fundamentalmente dos técnicas reconocidas en la Matriz de MITRE ATT&CK que clasifica las TTPs para obtener acceso a los sistemas: 

Pero la publicación también indica la relevancia que tiene para estos actores los ciberataques en la cadena de suministro. Este tipo de ciberataques ha proporcionado al SVR acceso a un gran número de organizaciones. El mayor ejemplo de ello lo constituye Sunburst: un masivo ciberataque que afectó al software de gestión de redes corporativas Solarwinds, que utilizaban cientos de grandes compañías como Microsoft, Intel, Cisco o SAP.

Cobalt Strike y Sliver

Los analistas de las agencias señalan que, en múltiples ocasiones, los grupos vinculados al SVR han utilizado Cobalt Strike, un programa Comando y Control (C&C) que permite hacer todo tipo de operaciones dentro de los sistemas una vez que han logrado el acceso inicial a través de las técnicas que hemos descrito anteriormente.

Con respecto a Solarwinds, el análisis forense en una de las organizaciones afectadas mostró que usaron los malware GoldFinder GoldMax y Sibot, que se utilizaron para funciones de puerta trasera y como cargadores.

En cualquier caso, sobre todo subrayan que han utilizado la plataforma Sliver: otra herramienta para simulación y prácticas de Red Team que admite una gran variedad de Comandos y mecanismos de Control si se logra introducir en los sistemas. Un aspecto llamativo observado con Sliver es que para cada gran organización afectada con Sliver, los ciberatacantes han utilizado diferentes infraestructuras como sistemas desde donde operan, posiblemente para dificultar su rastreo y mantener una mayor persistencia de su control sobre los sistemas ciberatacados.

Actualizaciones y Zero- Trust para los MSPs y sus clientes

Como hemos visto, el informe muestra que estos grupos de ciberatacantes utilizan técnicas y procedimientos muy avanzados y por todo ello, suponen una amenaza significativa para los proveedores de servicio y sus clientes.

Sin embargo, los MSPs sí pueden reducir los riesgos de sus ciberataques y de su intrusión en las organizaciones, si aplican unas buenas prácticas y cuentan con herramientas adecuadas:

En primer lugar, dado que las vulnerabilidades en los sistemas y el software conforman sus principales Técnicas para obtener el acceso inicial, tener las últimas actualizaciones y parches de todos ellos es una medida clave para minimizar estos riesgos.

En segundo lugar, los ciberataques de cadena de suministro ponen de manifiesto que cualquier software por legítimo que pueda parecer, puede suponer un vector de entrada para el malware. Esto implica que los MSPs deben implementar herramientas que partan de una premisa de desconfianza total hasta que se compruebe al 100% que son seguros.

En este sentido, las soluciones de seguridad en el Endpoint de WatchGuard constituyen una eficaz respuesta para los MSPs, que reduce y mitiga los riesgos como los que el informe sobre el SVR muestra, tanto para ellos como para sus clientes. Ocurre que, además de una protección integral EPDR, parten de un enfoque de “Confianza cero” a través de su servicio Zero-Trust Aplication Service incluido de forma gratuita: de esta manera, todo binario es analizado previamente antes de ejecutarse. Además, estas soluciones se encuentran integradas en la plataforma de ciberseguridad unificada en WatchGuard Cloud, que ofrece una gestión integral muy sencilla para los MSPs.