Uno de estos incidentes ocurrió en una organización industrial. El archivo malicioso fue descubierto por expertos del centro de respuesta a ciberataques Solar JSOC. La investigación reveló que los delincuentes penetraron en la red corporativa a través de una vulnerabilidad en el software DameWare Mini Remote Control, utilizado para la administración remota.
Etapas clave del ataque:
- Uso de una vulnerabilidad en el software, que permaneció accesible desde la red externa desde el período de la pandemia.
- Colocación de un archivo malicioso en el directorio de administración de la solución antivirus.
- Desactivación del antivirus (en este caso, "Laboratorio Kaspersky").
- Desactivación de la tecnología MiniFilter, que se utiliza para monitorear la actividad en el sistema de archivos de Windows.
- Reemplazo de las funciones de callback del antivirus con valores ficticios, lo que priva al sistema de protección de la capacidad de detectar amenazas.
Después de la desactivación de la protección, los hackers podían cargar cualquier programa malicioso sin temor a ser detectados.
Tras recibir información de Solar 4RAYS, "Laboratorio Kaspersky" mejoró rápidamente los mecanismos de autoprotección de sus productos y lanzó actualizaciones. En las versiones actualizadas, se reforzaron las reglas de detección de amenazas y se agregaron nuevos algoritmos de protección contra la carga de controladores sospechosos.
Los especialistas de Solar 4RAYS señalan que los ataques que incluyen la desactivación de las medidas de protección son cada vez más frecuentes. Si antes estas técnicas se utilizaban principalmente en campañas de espionaje dirigidas, ahora los ciberdelincuentes las utilizan activamente para ataques destructivos contra la infraestructura crítica.
Los expertos de Solar 4RAYS recomiendan a las empresas: Verificar regularmente el funcionamiento de las soluciones de protección: un antivirus desactivado puede ser un signo de hackeo. Controlar la transmisión de telemetría: es importante rastrear si los sistemas transmiten datos sobre eventos de seguridad. Evaluar el nivel de compromiso de la infraestructura: esto ayudará a detectar ataques antes de que ocurran consecuencias graves. Utilizar una protección escalonada: la integración de EDR, XDR y NDR ayuda a detectar ataques complejos en tiempo real.
Los delincuentes perfeccionan los métodos de ataque, encontrando formas de eludir incluso las soluciones antivirus más avanzadas. La relevancia de las medidas proactivas de ciberseguridad pasa a primer plano: sin una protección multinivel y un monitoreo constante de las organizaciones, el riesgo de pérdidas y consecuencias destructivas aumenta significativamente.