Cinco formas de minimizar el riesgo de piratería del grupo Lazarus

Los ataques en línea a menudo apuntan a usuarios de criptomonedas, como se vio en el caso reciente de Mark Cuban que perdió casi $1 millón de su billetera digital. Sin embargo, existen tres pautas simples que pueden mejorar significativamente la seguridad de sus fondos, que se analizarán en este artículo.

Antes de profundizar en estas pautas, es fundamental comprender el panorama de amenazas actual.

El FBI presenta pruebas sólidas sobre el Grupo Lazarus

El Grupo Lazarus es un grupo de hackers patrocinado por el gobierno de Corea del Norte. Son conocidos por sus ciberataques avanzados, incluido el ataque de ransomware WannaCry. WannaCry causó importantes perturbaciones en varias organizaciones, como instituciones sanitarias y agencias gubernamentales. Cifraba archivos en computadoras infectadas y exigía pagos de rescate en Bitcoin.

Uno de los primeros ataques del grupo en el espacio de las criptomonedas fue la violación del intercambio de criptomonedas de Corea del Sur, Yapizon (más tarde rebautizado como Youbit) en abril de 2017. Esto resultó en el robo de 3.831 Bitcoins, valorados en ese momento en más de 4,5 millones de dólares.

La participación del Grupo Lazarus en el espacio de las criptomonedas generó preocupaciones sobre su capacidad para generar fondos para el régimen norcoreano mientras evadía las sanciones internacionales. En 2022, se les vinculó con varios hackeos de criptomonedas de alto perfil, incluido el robo de 620 millones de dólares del puente Axie Infinity Ronin.

La Oficina Federal de Investigaciones (FBI) atribuyó varios ataques, incluidos Alphapo, CoinsPaid y Atomic Wallet, al Grupo Lazarus. Estiman que el grupo robó más de 200 millones de dólares a través de estos hacks en 2023.

El FBI vinculó recientemente al Grupo Lazarus con un hackeo de 41 millones de dólares al sitio de apuestas criptográficas Stake. Este ataque se llevó a cabo mediante una campaña de phishing dirigida a los empleados del sitio.

Por último, según la empresa de seguridad blockchain SlowMist, el hackeo de 55 millones de dólares al intercambio de criptomonedas CoinEx fue perpetrado por piratas informáticos patrocinados por el estado de Corea del Norte.

Ingeniería social y error humano: factores comunes en los hacks

Al contrario de lo que suelen representar las películas, la mayoría de los ataques no implican el acceso a dispositivos físicos ni la fuerza bruta de contraseñas. En cambio, se producen mediante técnicas de phishing e ingeniería social, explotando la curiosidad o la avaricia humana para manipular a las víctimas.

Los piratas informáticos pueden hacerse pasar por representantes de servicio al cliente u otras personas de confianza para engañar a las víctimas y conseguir que revelen su información personal. Por ejemplo, un atacante podría hacerse pasar por un agente de soporte de TI, comunicarse con un empleado y afirmar que necesita verificar sus credenciales de inicio de sesión para una actualización del sistema. Para establecer credibilidad, el atacante puede utilizar información pública sobre la empresa y la función del objetivo.

Los ataques de phishing se basan en correos electrónicos o mensajes engañosos para engañar a los destinatarios para que realicen acciones dañinas. Un atacante puede hacerse pasar por una organización acreditada, como un banco, y enviar un correo electrónico solicitando al usuario que haga clic en un enlace para verificar su cuenta. Sin embargo, el enlace conduce a un sitio web fraudulento diseñado para robar sus credenciales de inicio de sesión.

Los ataques de cebo atraen a las víctimas con algo atractivo, como software gratuito o una oportunidad laboral. El atacante se hace pasar por un reclutador y crea una oferta de trabajo convincente en un sitio de búsqueda de empleo de buena reputación. Para ganar confianza, pueden incluso realizar una entrevista en vídeo falsa y luego informar al candidato que ha sido seleccionado. Luego, los piratas informáticos envían un archivo aparentemente inofensivo, como un documento PDF o Word, que en realidad contiene malware.

5 consejos para minimizar el riesgo de piratería y exploits

1: ¿Es necesario detener a un atacante inmediatamente?

Una vez que se descubre un ataque y comienza la respuesta al incidente, es fundamental que la dirección de la empresa afectada tome decisiones rápidas. Deben decidir si detener inmediatamente toda actividad de ataque o permitir que continúe de manera controlada, observando las acciones del atacante para comprender mejor el ataque. Esta decisión es fundamental porque afecta directamente a la empresa y sus servicios.

En cualquier caso, es importante evitar reconfigurar los equipos afectados o sospechosos de estar comprometidos. Si esto sucede, se perderán datos forenses valiosos, lo que hará imposible descubrir las acciones realizadas por los atacantes en esos sistemas. Desafortunadamente, en el caso de Grapevine, algunos sistemas fueron reconfigurados antes de que nos llamaran, lo que nos impidió realizar una investigación exhaustiva. Recomendamos encarecidamente conservar los artefactos forenses o las imágenes completas del sistema para examinarlos más a fondo antes de reinstalar un sistema. Este enfoque permite a los investigadores volver al estado original del sistema si aparece nueva información disponible más adelante en la investigación.

2: Por qué la autenticación de dos factores no es suficiente

El ataque a Grapevine supuestamente comenzó enviando un correo electrónico de phishing a alguien conocido de uno de los empleados. Sin embargo, no pudimos encontrar ninguna evidencia que confirme esta suposición. Después de obtener acceso a la computadora del empleado, el atacante intentó infiltrarse aún más en la red. Señalaron una cuenta utilizada en estaciones de trabajo privadas conectadas a una estación de trabajo virtual a través de la nube de Microsoft Azure.

Los registros de autenticación muestran que poco después de una autenticación válida desde la dirección IP habitual de la cuenta (denominada «paciente cero»), se produjo otra autenticación exitosa desde una dirección IP extranjera desconocida. A diferencia de la primera autenticación, la segunda no requirió autenticación de dos factores (2FA) ya que se presentó un token válido a Microsoft Azure.

Este ejemplo destaca la importancia de utilizar la autenticación de dos factores, pero también subraya la necesidad de una implementación y un seguimiento cuidadosos para minimizar el riesgo de acceso no autorizado. Además, recomendamos encarecidamente monitorear los archivos de registro para detectar cualquier comportamiento de inicio de sesión anormal, como sesiones duplicadas de diferentes direcciones IP. Al mejorar el monitoreo de registros, el ataque de Grapevine podría haberse detectado antes. Sin embargo, es fundamental que se pueda acceder fácilmente a estos archivos de registro, como lo demostrará la siguiente información.

3: Registre siempre y garantice la accesibilidad de los registros

Los objetivos iniciales de los atacantes de Lazarus fueron los servidores Linux. Sin embargo, el inicio de sesión en estos hosts fue insuficiente y no proporcionó información de proceso o comando. El inicio de sesión de Citrix y Azure también carecía de granularidad para el comportamiento de inicio de sesión del usuario. Esta falta de registro completo ha llevado a una falta de comprensión de las actividades de los atacantes. Para abordar esto, es fundamental habilitar registros accesibles y analizar rápidamente los datos recopilados. Se recomienda probar con antelación si este es el caso.

Como objetivo secundario, los atacantes se centraron en los servidores de Windows. Afortunadamente, el inicio de sesión en estos servidores estuvo mejor organizado. Esto nos permitió observar que los atacantes obtuvieron mayores privilegios de usuario. Esta escalada de privilegios probablemente ocurrió durante la fase de movimiento del ataque al explotar una vulnerabilidad conocida en una DLL secuestrada. Realizar un análisis de vulnerabilidades es el método preferido para identificar dichas vulnerabilidades y, con una detección y respuesta mejoradas, es muy probable que esto hubiera sido detectable.

4: Elige contraseñas que sean fáciles de leer

Los atacantes suelen intentar recopilar credenciales para acceder a cuentas con mayores privilegios. Un protocolo de destino común es la autenticación WDigest de Windows, que almacena las credenciales de inicio de sesión en texto sin formato en la memoria. Si un atacante tiene privilegios de administrador en el sistema, puede extraer y leer estas contraseñas.

Aunque esta función está deshabilitada de forma predeterminada desde Windows 8.1, se puede volver a habilitar modificando un valor de registro. En el caso del ataque de Grapevine, los atacantes cambiaron la configuración del registro para permitir que las contraseñas en texto plano se almacenaran en la memoria, lo que les permitió leerlas. Por lo tanto, recomendamos configurar cómo se almacenan las credenciales de WDigest instaladas, lo que se puede lograr mediante una configuración de registro.

5: Separe su red en segmentos

Finalmente, existen dos medidas cruciales para minimizar el grado en que los atacantes pueden infiltrarse en la red. El primer paso es implementar la segmentación de la red, que impide que los piratas informáticos avancen más allá de segmentos específicos. Como segunda medida, las empresas deberían considerar limitar las actividades de seguridad a las estaciones de trabajo individuales en el sitio. Esto garantiza que incluso si un atacante obtiene privilegios de administrador, no podrá realizar ninguna acción en los sistemas.

A modo de resumen, aquí tienes nuestras 5 medidas recomendadas:

• Evite reconfigurar las computadoras comprometidas.
• Garantice una implementación sólida de la autenticación de dos factores.
• Registra todas las actividades y garantiza la accesibilidad de los registros.
• Esté atento a los atacantes que intentan recopilar credenciales.
• Implementar la segmentación de la red.

La amenaza constante de Lázaro

Si bien el grupo Lazarus es conocido por mejorar y adaptar constantemente sus herramientas, no son invencibles, como cualquier otro actor de amenazas. Tomando las precauciones adecuadas y con una estrategia de respuesta clara, es posible evitar que Lazarus o cualquier otra operación norcoreana tenga éxito.

Si sigue los pasos mencionados anteriormente, puede ponérselo mucho más difícil para cualquier actor de amenazas inspirado en Lazarus o para el grupo mismo.