Los ciberatacantes son estratégicos y metódicos. Conocen su misión y se disponen a llevar a cabo sus ataques de forma secuencial con la esperanza de pasar desapercibidos. Esta secuencia predecible de eventos es el ciclo de vida de los ataques dirigidos. Como organización, es fundamental proteger tus datos críticos y tus ciberactivos frente a todos los agentes de amenazas en todas las etapas del ciclo de vida de los ataques dirigidos.
Los expertos de Mandiant utilizan su amplio conocimiento de los atacantes y del ciclo de vida de los ataques dirigidos, junto con su comprensión de tu entorno único, para determinar las medidas preventivas que debes tomar en las distintas fases que se describen a continuación.
La representación de Mandiant del ciclo de vida de los ataques dirigidos muestra las fases principales de una intrusión típica. Aunque no todos los ataques siguen el flujo exacto de este modelo, el siguiente gráfico ofrece una representación visual del ciclo de vida de un ataque habitual.
- Reconocimiento inicial: en esta fase, el atacante investiga los sistemas y los empleados de la empresa objetivo y define una metodología para la intrusión. El atacante también puede buscar infraestructuras que permitan acceder de forma remota a un entorno o buscar empleados a los que dirigir ataques de ingeniería social.
- Ataque inicial: en este caso, el atacante ejecuta código malicioso en uno o varios sistemas corporativos. Esto suele ocurrir como resultado de un ataque de ingeniería social o de la explotación de una vulnerabilidad en un sistema con acceso a Internet.
- Establecer la presencia: inmediatamente después de la intrusión inicial, el atacante mantiene el control continuo de un sistema recientemente atacado. Por lo general, el atacante se asienta instalando una puerta trasera persistente o descargando utilidades adicionales en el sistema comprometido.
- Elevar privilegios: en esta fase, el atacante obtiene más acceso a los sistemas y datos corporativos dentro del entorno. Los atacantes suelen aumentar sus privilegios mediante la obtención de credenciales, el registro de pulsaciones de teclas o la subversión de sistemas de autenticación.
- Reconocimiento interno: a continuación, el atacante explora el entorno de la empresa para conocer mejor su infraestructura, el almacenamiento de la información de interés y los roles y responsabilidades de las personas clave.
- Movimiento lateral: el atacante utiliza las cuentas obtenidas en la fase de "derivación de privilegios" y se mueve lateralmente a otros sistemas del entorno comprometido. Entre las técnicas de movimiento lateral más habituales se incluyen el acceso a recursos compartidos de archivos de red, la ejecución remota de comandos o el acceso a sistemas mediante protocolos de inicio de sesión remoto, como los servicios de escritorio remoto (RDS) o Secure Shell (SSH).
- Mantener la presencia: el atacante se asegura un acceso continuo al entorno instalando varias variantes de puertas traseras o accediendo a servicios de acceso remoto, como la red privada virtual (VPN) de la empresa.
- Completar la misión: el atacante consigue los objetivos de la intrusión, como robar propiedad intelectual, datos financieros, información sobre fusiones y adquisiciones, o información personal identificable (IIP). En otros casos, el objetivo de la misión puede ser interrumpir los sistemas o los servicios o destruir datos en el entorno.
Es importante conocer los pasos que siguen los atacantes para establecer un plan que prevenga este tipo de ataques y mitigue los riesgos. El primer paso es conocer las fases del ciclo de vida de los ataques selectivos. Para asegurarte de que tu organización está preparada y puede prevenir los ataques, recurre al equipo de expertos de Mandiant como tu partner para la preparación ante los ciberriesgos.
