A medida que la piratería se vuelve más destructiva y generalizada, un tipo de herramienta poderosa de compañías como CrowdStrike Holdings Inc. y Microsoft Corp. se ha convertido en una gran ayuda para la industria de la ciberseguridad.
Se llama software de detección y respuesta de puntos finales (EDR, por su sigla en inglés) y está diseñado para detectar señales tempranas de actividad maliciosa en computadores portátiles, servidores y otros dispositivos —”puntos finales” en una red informática— y bloquearlos antes de que los intrusos puedan robar datos o trabar las máquinas.
Pero expertos dicen que los hackers han desarrollado soluciones alternativas para algunas formas de la tecnología, lo que les permite eludir productos que se han convertido en el estándar de oro para proteger sistemas cruciales.
Por ejemplo, en los últimos dos años, Mandiant, que forma parte de la división Google Cloud de Alphabet Inc., ha investigado 84 infracciones en las que se manipuló o deshabilitó el EDR u otro software de seguridad de punto final, dijo Tyler McLellan, analista principal de amenazas de la empresa.
LEA TAMBIÉN: Surgen nuevas formas de ciberataques a empresas: cómo protegerse
Los hallazgos representan la más reciente evolución de un juego del gato y el ratón de décadas, ya que los hackers adaptan sus técnicas para superar las protecciones de seguridad cibernética más recientes, según Mark Curphey, quien ocupó cargos sénior en McAfee y Microsoft y ahora es emprendedor en seguridad cibernética en Reino Unido.
“Hackear las herramientas de protección de seguridad no es nada nuevo”, dijo, y agregó que “el premio, si tienen éxito, es el acceso a todos los sistemas que las usan, por definición, sistemas que vale la pena proteger”.
Investigadores de varias empresas de ciberseguridad dijeron que la cantidad de ataques en los que se deshabilita o se omite el EDR es baja pero creciente, y que los hackers se vuelven cada vez más ingeniosos para encontrar formas de eludir las protecciones más sólidas que brinda la herramienta.
En diciembre, Microsoft reveló en una entrada de blog que hackers habían engañado a la empresa para que aplicara su sello de autenticidad al malware, que luego se utilizó para desactivar el EDR de la empresa y otras herramientas de seguridad en las redes de las víctimas. Microsoft suspendió las cuentas de desarrolladores tercerizados involucradas en la artimaña y dijo que la compañía estaba “trabajando en soluciones a largo plazo para abordar estas prácticas engañosas y evitar futuros impactos en los clientes”.
LEA TAMBIÉN: Sus mayores riesgos de ciberseguridad podrían estar dentro de su organización
En febrero, Arctic Wolf Networks detalló un caso que investigó a fines del año pasado en el que hackers del grupo de ransomware Lorenz fueron bloqueados inicialmente por el EDR de la víctima. Los piratas informáticos se reagruparon e implementaron una herramienta forense digital gratuita que les permitió acceder a la memoria de los computadores directamente e implementar su ransomware con éxito, sin pasar por el EDR, dijo la compañía. Arctic Wolf no identificó a la víctima ni al EDR afectado.
Y en abril, Sophos Group reveló una nueva pieza de malware que descubrió la empresa con sede en el Reino Unido que se ha utilizado para deshabilitar las herramientas EDR de Microsoft, de la propia Sophos y de varias otras compañías antes de implementar el ransomware Lockbit y Medusa Locker.
“Evitar el EDR y deshabilitar el software de seguridad es claramente una táctica en ascenso”, dijo Christopher Budd, gerente sénior de investigación de amenazas. “Debido a la naturaleza de este tipo de ataque, es particularmente difícil de detectar ya que apunta a las mismas herramientas que detectan y previenen los ciberataques”.
LEA TAMBIÉN: Cibercriminales no atacan porque seamos nosotros, atacan por oportunidad
El mercado de EDR y otras nuevas tecnologías de seguridad para puntos finales creció un 27% hasta alcanzar los US$ 8,600 millones en todo el mundo el año pasado, liderado por CrowdStrike y Microsoft, según IDC.
Adam Meyers, vice presidente sénior de inteligencia de CrowdStrike, dijo que el creciente número de ataques contra el software EDR muestra que los hackers “han evolucionado”. Muchos de los ataques que CrowdStrike ha rastreado, contra sus productos y los ofrecidos por la competencia, involucran configuraciones incorrectas de los sistemas de los clientes o vulnerabilidades profundas en el software o el firmware, señales de que los hackers ahora tienen que trabajar más para ingresar a las redes objetivo, dijo.
“Estamos tratando de ir cada vez más a profundidad y acercarnos más al hardware, y cuanto más uno se acerca, más difícil es detener un ataque”, dijo Meyers.
Un representante de Microsoft declinó comentar para esta nota.
¡Beneficios ilimitados con tu suscripción a Gestión! Disfruta de hasta 70% de dscto. en más de 300 promociones del Club de Suscriptores, que además podrás usar todas las veces que quieras. Conócelos aquí ¿Aun no eres suscriptor?, adquiere tu plan aquí