x
Newsletter
CIBERATAQUES MEDIANTE EXPLOTACIÓN DE SOFTWARE DE GESTIÓN REMOTA. - MICROMOUSE

CIBERATAQUES MEDIANTE EXPLOTACIÓN DE SOFTWARE DE GESTIÓN REMOTA.

CIBERATAQUES MEDIANTE EXPLOTACIÓN DE SOFTWARE DE GESTIÓN REMOTA.
MMLCQN
BLOG 17 diciembre, 2024

CIBERATAQUES MEDIANTE EXPLOTACIÓN DE SOFTWARE DE GESTIÓN REMOTA.

Sebastián Carmona | 3 minutos

Hace un par de semanas tuvimos ocasión de participar en la XVIII Jornadas STIC del CCN-CERT. Unas jornadas intensas donde el intercambio de conocimiento es el motivo fundamental para asistir.

Durante la primera sesión, los compañeros de CrowdStrike nos compartieron su informe Global Threat Report 2024, merece la pena echarle un ojo. Entre los puntos que se destacaron en cuanto a tendencias por parte de los ciberdelincuentes es la explotación de software de gestión remota y sus vulnerabilidades.

A modo de síntesis lo podemos reducir en dos puntos cruciales:

  1. Realización de una campaña de phishing (suplantación entidad bancaria, soporte técnico, etc…), el objetivo es ganarse la confianza de la víctima.
  2. Una vez ganada la confianza de la víctima, el objetivo es conseguir que visiten sitios web falsos que supuestamente distribuyen el software de conexión remota. Indudablemente el software legítimo contiene algún invitado no deseado. Una vez instalado en el Host de la víctima, el delincuente ha entrado ya y, a partir de ahí, entramos en la fase de explotación.

el precio de lo gratuito.

Es una frase ya muy conocida, que todos hemos pronunciado en alguna ocasión: «cuando algo es gratis, el producto eres tú». Y es que la mejor palabra para todo consumidor es: GRATIS. Las versiones gratuitas de software legítimo son siempre un gancho para resolver cualquier necesidad, y esto lo saben los delincuentes. Tan solo tienen que generar una web de apariencia oficial, preparar una versión envenenada  con malware. Malware ya comercializado (por ejemplo, Vidar, especializado en el robo de información) o malware desarrollado por la organización ciberdelincuente. Y solo queda dirigir a las víctimas para que se descarguen esta versión armada y ejecuten el software utilizado a modo de caballo de Troya.

SOLUCIONES.

Ante este tipo de ataques desde MICROMOUSE proponemos dos soluciones:

  • Uso de la combinación de las tecnologías Multiscanning y Content Disarm and Reconstruction, para el sanitizado del tráfico web de tu organización, mitigando este tipo de ataques que incluyen scripts embebidos en ficheros y carpetas. La tecnología CDR fragmenta el fichero en los diversos componentes que lo conforman, analizando cada uno de ellos de manera individualizada. Identifica anomalías y LAS neutraliza reconstruyendo una versión del fichero original sin el elemento anómalo. Esta versión reconstruida se entrega al usuario, y el fichero original, según la política definida, se traslada al área de cuarentena o a la Sandbox desplegada en la organización.
  • Desplegar una herramienta de gestión remota segura, como es Netop, reivindicándola como la única aceptada dentro de la organización.

Una solución tecnológica que conforme CUATRO capas de seguridad en cada conexión:

    • Establecimiento de un canal seguro. Lo primero es establecer un canal de comunicación seguro. Para ello es conveniente utilizar un cifrado del canal, AES256, con un intercambio dinámico de claves. Este método es más seguro que la mejor VPN del mercado, ya que la mejor es la más comercializada y la más rentable de hackear para posterior explotación de vulnerabilidades.
    • Gestión de accesos de los usuarios. Desplegando la autenticación multifactor en toda conexión podremos evitar el acceso no deseado ante unas credenciales sustraídas o suplantación de identidad. Netop, además, permite la creación de grupos cerrados de usuarios (usuarios limitados) impidiendo el acceso desde un usuario al total de los usuarios de la organización. Y siempre, siempre las conexiones vía Netop tendrán que ser autorizadas por el Host.
    • Gestión de permisos de cada usuario. Desplegar una política de mínimo privilegio también es posible para las conexiones remotas con Netop. Los permisos de cada usuario se pueden realizar de manera automática (perfilado previo del usuario) o manual según las necesidades de la organización en cada momento. Permitiendo incluso el direccionamiento de las comunicaciones según los perfiles de Guest y Host. Por ejemplo: un usuario de SAP, será atendido por el técnico de Helpdesk especializado en SAP.
    • Documentación de los eventos, auditoría. Netop recoge los logs de la actividad realizada en cada conexión. De este modo prodemos presentar la información ante terceros, especialmente auditores que certifican los requisitos de las principales normas de seguridad y calidad. Incluso existe la opción del grabado de la sesión para posterior análisis de la intervención y/o presentación ante terceros por distintas razones. Los logs de actividad son fácilmente consolidables para análisis forenses o mejora continua de los procesos. Además, Netop se integra con los principales SIEM.

En MICROMOUSE, contamos con una experiencia de años en el despliegue de estas soluciones tecnológicas en empresas y organizaciones de todo tipo, sector y dimensión. Son soluciones escalables que adaptamos a la estructura de cada cliente y que nos convierten en uno más del equipo de IT por el compromiso que nos caracteriza. ¿Hablamos de CIBERSEGURIDAD?