En algunos contextos, un golpe doble puede tener connotaciones positivas, por ejemplo, cuando tu equipo favorito gana dos partidos seguidos, cuando dos productos caen de la máquina expendedora, etc. Sin embargo, en el contexto de la ciberseguridad, un golpe doble puede traducirse en ser atacado mientras todavía uno se está tambaleando por el impacto de otra amenaza o ataque previo.

En ciberseguridad, muchas organizaciones se centran en abordar las debilidades individuales y vulnerabilidades explotables, pensando que esto será suficiente para detener un ataque. Si bien a veces esto es cierto, a día de hoy los hackers son mucho más sofisticados, están más preparados y son más decididos que los cibercriminales del pasado. Si un camino hacia un destino no funciona, un hacker seguirá intentándolo hasta que pueda romper con éxito el sistema.

Recientemente, ha surgido un nuevo estilo de hacking que aprovecha no uno, sino dos ataques independientes respaldados por malware. Con esta fórmula, un ataque actúa como distracción, enmascarando las actividades maliciosas del otro malware a medida que éste pasa desapercibido, ofreciendo una ruta para llevar a cabo infecciones adicionales, o para robar datos u otra propiedad intelectual. Los hackers normalmente utilizarán muestras de ransomware especialmente visibles para el ataque inicial, proporcionando una herramienta de distracción ideal dentro de este estilo de brechas de doble impacto. Este enfoque es algo que ocurrirá cada vez con mayor frecuencia en 2018.

Pero, ¿cómo es exactamente este tipo de ataque? ¿Y cómo pueden las organizaciones protegerse a sí mismas cuando sus sistemas se ven golpeados por un doble incidente de ciberseguridad? Echemos un vistazo más de cerca a lo que sucede cuando un ataque enmascara a otro:

Bad Rabbit esconde spear phishing

Un ejemplo reciente de un ataque que enmascara a otra actividad más perjudicial lo encontramos en Bad Rabbit. Esta muestra de ransomware surgió por primera vez en otoño de este año cuando se utilizó como plataforma de lanzamiento para infectar a más de 200 organizaciones en Rusia y Ucrania, según informó The Hacker News. El exploit Bad Rabbit utilizó un exploit de la NSA robado por el grupo de hacking Shadow Brokers, que le permitió infiltrarse rápidamente y propagarse a través de las redes de las víctimas.

Existen otros conocidos ejemplos como el del ransomware NotPetya, que últimamente aprovechó EternalBlue y al que haremos referencia más adelante. Bad Rabbit, por otro lado, utilizó el exploit EternalRomance RCE para controlar su actividad maliciosa. Esta vulnerabilidad funciona explotando un defecto de Microsoft Windows Server Messaging Block identificado como CVE-2017-0145. La vulnerabilidad afecta a la transferencia de datos entre los endpoints de Windows y permite a los hackers eludir los protocolos de seguridad permitiendo eliminar la ejecución del código.

Cuando los ataques aparecieron por primera vez, los investigadores descubrieron que la infección comenzó con una descarga drive-by download que procedía de sitios de medios rusos infectados que utilizaron un reproductor Flasher falso para instalar el malware.

Sin embargo, y a partir de las infecciones exitosas, los investigadores descubrieron rápidamente que Bad Rabbit no era solo una infección corriente de ransomware: la muestra también ocultaba una poderosa campaña de spear phishing.

(Un) número de entidades ucranianas fue blanco de campañas de phishing al mismo tiempo que Bad Rabbit se extendía”, escribió Stu Sjouwerman, colaborador de KnowBe4. “Esas campañas intentaban comprometer la información financiera y otros datos confidenciales“.

De esta forma, el inicial ransomware Bad Rabbit se trataba solo de una cortina de humo para llevar a cabo un ataque más específico en busca de datos de valor de la compañía. Serhiy Demedyuk, responsable de la ciberpolicía estatal ucraniana, calificó las instancias de “ataques híbridos” y señaló que el primer ataque atrajo gran parte de la atención, permitiendo que el segundo ataque tuviera éxito con “resultados devastadores”.

No se deje engañar: Bad Rabbit inicialmente pareció aprovechar una vulnerabilidad de Windows, pero en realidad enmascaró un poderoso ataque de spear phishing.

NotPetya, objetivo destruir

NotPetya también es un poderoso ejemplo de estilo de ataque de doble impacto. Sin embargo, mientras Bad Rabbit enmascaraba otra actividad maliciosa de spear phishing, NotPetya apareció como una muestra de ransomware que solo apuntaba a destruir, y no a robar de los sistemas de las víctimas.

La primera vez que muchos escucharon sobre este ataque fue cuando su predecesor, Petya, apareció en marzo de 2016, según Josh Fruhlinger, colaborador de CSO Online. Petya aprovechó un email infectado para llegar a las víctimas y explotarlas, y luego pasó a cifrar archivos individuales, incluidos los archivos .exe.

Más tarde, en junio de 2017 salió a la luz NotPetya, que inicialmente apareció como una infección de ransomware típica capaz de propagarse rápidamente de víctima a víctima y de red en red. Aunque NotPetya se parecía mucho a Petya, incluido el cifrado de archivos y la visualización de una notificación solicitando Bitcoin a cambio de devolver el acceso, NotPetya se diferenció rápidamente.

Fruhlinger señaló que, aunque Petya usó un email infectado, al igual que muchas muestras de ransomware, NotPetya fue capaz de propagarse por sí solo, utilizando varios enfoques diferentes para estimular la infección, incluyendo una puerta trasera forzada que no requiere interacción humana para que una brecha de seguridad tenga éxito. NotPetya también es capaz de cifrar más archivos, hasta el punto de que el disco duro deja de estar operativo.

Finalmente, NotPetya no es un ransomware en realidad. Su proceso de infección y cifrado se utiliza para enmascarar sus verdaderas intenciones: la destrucción.

Parece un ransomware, ofrece una pantalla que informa a la víctima de que puede descifrar sus archivos si envía Bitcoin a un monedero electrónico específico”, explicó Fruhlinger. “Para Petya, esta pantalla incluye una identificación que se supone que deben enviar junto con el rescate: los atacantes usan este código para descubrir qué víctima acaba de pagar. Pero en los equipos infectados con NotPetya, este número se genera aleatoriamente y no es de ninguna ayuda para identificar cualquier cosa. Y además, resulta que, en el proceso de cifrado de datos, NotPetya lo daña sin posibilidad de reparación“.

Sorprendentemente, el objetivo de NotPetya no es robar datos y luego vender esta información con fines lucrativos o utilizarla para robos de identidad u otros fines maliciosos. NotPetya parece querer simplemente romper los sistemas de las víctimas, independientemente de que paguen o no el rescate.

Protección contra ataques híbridos

A medida que el hacking se vuelve más complejo y sofisticado, y que los atacantes continuamente doblan sus habilidades, resulta imperativo que las organizaciones puedan estar al día y protegerse contra los últimos estilos de amenazas. Estos ataques híbridos o enmascarados demuestran la importancia de tener tanta visibilidad de la actividad de la red como sea posible, garantizando que, incluso si se detecta actividad sospechosa en un área, las víctimas no se distraigan hasta el punto de permitir un ataque secundario dañino.

Tomar precauciones, incluida la monitorización de extremo a extremo, es lo ideal, lo que ayuda a evitar que comandos maliciosos y sospechosos pasen desapercibidos. Los responsables de TI y los encargados de la toma de decisiones en las organizaciones deberían buscar soluciones que puedan ayudar a identificar la actividad asociada a un ataque dirigido y proporcionar visibilidad granular en toda la red ayudando a garantizar que su compañía cuente con una seguridad que lo abarque todo.