Introducción
En la actualidad, los ciberataques son cada vez más comunes y sofisticados. Para poder defendernos eficazmente contra ellos, es fundamental comprender el proceso que los atacantes utilizan para comprometer los sistemas. En este documento, se explicará en detalle el concepto Cyber Kill Chain, y analizaremos un ataque de ejemplo para mostrar cómo se aplican las diferentes fases.
En 2020, la empresa SolarWinds sufrió un ciberataque altamente sofisticado que permitió a los atacantes acceder a los sistemas de miles de organizaciones, incluyendo agencias gubernamentales y grandes empresas en todo el mundo. El ataque se llevó a cabo siguiendo las siete fases de la Cyber Kill Chain.
Fases del Cyber Kill Chain
El Cyber Kill Chain tiene siete fases diferentes. Las primeras fases corresponden con la preparación del atacante, y las últimas con la explotación y objetivo final del ataque.
Saber más
Puedes encontrar información del Cyber Kill chain y sus aplicaciones en diferentes organismos especializados en ciberseguridad. Por ejemplo, en el INCIBE: e.digitall.org.es/fases-ciberataque
1 | Reconocimiento
La primera fase busca estudiar el objetivo del ataque. En el ejemplo, los atacantes comenzaron investigando a SolarWinds y sus clientes. Utilizaron técnicas de búsqueda en línea para identificar posibles vulnerabilidades y objetivos, y recopilaron información sobre los sistemas y la red de SolarWinds.
2 | Preparación
A continuación, se crean las armas o malware necesario para el ataque. En el ejemplo, los atacantes crearon un malware personalizado llamado SUNBURST que fue integrado en una actualización de software de SolarWinds. El objetivo de esta actualización era distribuirla a los clientes de SolarWinds y permitir a los atacantes obtener acceso no autorizado a sus sistemas.
3 | Entrega
Una vez creada el arma, es el momento de buscar el vector de ataque y hacer la entrega del malware. En el ejemplo, los atacantes utilizaron una técnica llamada “supply chain attack” para distribuir el malware creado por ellos. En lugar de atacar directamente a las víctimas, los atacantes comprometieron un proveedor de software de confianza (en este caso, SolarWinds) y distribuyeron el malware a través de sus actualizaciones de software.
4 | Explotación
Las vulnerabilidades encontradas en la primera fase por los atacantes son explotadas en esta fase. En el ejemplo, una vez que el malware se instaló en los sistemas de los clientes de SolarWinds, los atacantes comenzaron a explotar las vulnerabilidades en los sistemas para obtener control total. Utilizaron técnicas de engaño para obtener información de inicio de sesión y credenciales de los empleados y utilizaron herramientas de penetración para acceder a la red interna.
VÍDEO
Las vulnerabilidades son fallos de los sistemas informáticos
que pueden ser explotadas por los atacantes. Cuando una vulnerabilidad se descubre, se denomina 0-day. Para arreglarlas, los fabricantes diseñan parches y los aplican en forma de actualizaciones.
5 | Comando y control
Cuando ya se ha obtenido acceso al sistema víctima, los atacantes no pierden el control de su arma. En esta fase, se comunican con la víctima infectada usando servidores conocidos como “Command & Control” (C2). En este ejemplo, los atacantes instalaron herramientas adicionales para mantener elacceso a largo plazo y control sobre los sistemas comprometidos. También utilizaron técnicas de evasión para ocultar su actividad y evitar ser detectados por los sistemas de seguridad.
6 | Acción sobre los objetivos
Finalmente, se ejecuta el ataque acorde al objetivo principal de los atacantes. En el ejemplo, el objetivo final de los atacantes era la extracción de información confidencial. Una vez que tuvieron acceso a los sistemas comprometidos, los atacantes descargaron y extrajeron datos sensibles, incluyendo información gubernamental y empresarial altamente confidencial.
Para qué se utiliza Cyber Kill Chain
El ciberataque a SolarWinds fue un ejemplo muy sofisticado de un ataque cibernético que sigue las fases de la Cyber Kill Chain. El ataque subraya la importancia de mantener una postura de seguridad sólida y estar alerta ante posibles amenazas en línea. Además, también resalta la importancia de fortalecer la cadena de suministro y la necesidad de realizar controles rigurosos en todos los proveedores de software y servicios para mitigar los riesgos de los ciberataques.
El concepto de Cyber Kill Chain es un marco útil para entender cómo los atacantes pueden comprometer sistemas y qué medidas podemos tomar para defendernos. Es importante tener en cuenta que cada ataque es único y las diferentes fases pueden ser más o menos relevantes dependiendo de la situación. Al comprender cómo funciona el Cyber Kill Chain, podemos mejorar nuestra postura de seguridad en línea y estar mejor preparados para detectar y responder a posibles ciberataques.