Nueva Técnica de Bypass "Bring Your Own Installer" de EDR Utilizada en Ataques de Ransomware

La ciberseguridad es un campo en constante evolución, donde nuevas amenazas surgen continuamente, poniendo en riesgo la seguridad de las organizaciones. Recientemente, se ha identificado una nueva técnica de bypass de EDR (Respuesta y Detección de Endpoint) denominada "Bring Your Own Installer" que está siendo explotada en ataques de ransomware. Este método permite a los atacantes desactivar las características de protección de tamper de SentinelOne, dejando a las empresas vulnerables a nuevas amenazas. En este artículo, exploraremos los detalles sobre esta técnica, su funcionamiento y cómo mitigar sus efectos.

¿Qué es la técnica "Bring Your Own Installer"?

Breve descripción del ataque

La técnica "Bring Your Own Installer" se aprovecha de un hueco en el proceso de actualización del agente de SentinelOne, una solución EDR ampliamente utilizada. Los cibercriminales pueden finalizar los agentes EDR en ejecución, lo que resulta en dispositivos desprotegidos y vulnerables. Este método no depende de herramientas o controladores de terceros, lo que lo hace particularmente insidioso, ya que abusa del instalador legítimo de SentinelOne.

El descubrimiento del ataque

El ataque fue descubierto por John Ailes y Tim Mashni del equipo de respuesta a incidentes de Aon Stroz Friedberg, presentado en una relación de un cliente que había sufrido un ataque de ransomware. Durante la investigación, se determinó que los atacantes habían utilizado esta técnica para interrumpir la protección de los dispositivos.

¿Cómo se ejecuta esta técnica de bypass?

Proceso de ataque

Los atacantes pueden utilizar el instalador de SentinelOne para cerrar el proceso del instalador de Windows, conocido como msiexec.exe, antes de que pueda finalizar la actualización. Esto permite que el software malicioso, como el ransomware Babuk, sea instalado sin ser detectado.

1. Acceso administrativo: Los atacantes inicialmente obtienen acceso administrativo a la red de la víctima a través de una vulnerabilidad.
2. Ejecución del instalador: Luego ejecutan el instalador de SentinelOne, que comienza a desactivar el agente en ejecución.
3. Interrupción del proceso: Los cibercriminales finalizan el proceso del instalador antes de que complete la actualización, dejando los dispositivos sin protección.
4. Implementación del ransomware: Con las defensas desactivadas, los atacantes despliegan el ransomware sin ser detectados.

Impacto y alcance del ataque

Stroz Friedberg ha observado que esta técnica puede ser utilizada con versiones antiguas y nuevas del agente, lo que significa que incluso si se implementan las últimas actualizaciones, las empresas pueden seguir siendo vulnerables. Según el informe, algunos clientes aún no han habilitado ciertas características de protección, contrastando con las recomendaciones de SentinelOne.

Recomendaciones para mitigar el ataque

Habilitar la protección de "Online Authorization"

SentinelOne ha aconsejado a sus clientes habilitar la configuración de “Online Authorization”, que requiere aprobación desde la consola de administración de SentinelOne para cualquier actualización, degradación o desinstalación del agente. Esta medida es fundamental para prevenir la explotación de la técnica "Bring Your Own Installer".

1. Acceder a la consola: Los administradores deben iniciar sesión en la consola de administración de SentinelOne.
2. Activar la configuración: Buscar la opción de "Online Authorization" y habilitarla.
3. Verificar las configuraciones: Asegurarse de que todos los dispositivos en la red tengan esta opción activada.

Otras medidas de seguridad

La seguridad cibernética no se limita a una sola herramienta o técnica; es esencial adoptar un enfoque integral. Aquí algunas recomendaciones adicionales:

• Formación de empleados: Capacitar a los empleados sobre las mejores prácticas en seguridad cibernética puede mitigar muchos riesgos. Una fuerza laboral bien informada es la primera línea de defensa.
• Monitoreo continuo: Implementar soluciones de monitoreo para detectar actividades sospechosas en tiempo real puede ayudar a identificar amenazas antes de que causen daño.
• Uso de Antivirus: Es crucial contar con un software antivirus de confianza. Por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

El papel de los proveedores de EDR

Cooperación entre los proveedores

Después de que Stroz Friedberg divulgara responsablemente este ataque, SentinelOne compartió las recomendaciones con otros proveedores de EDR para asegurar que también estuvieran al tanto del riesgo. Especialmente relevante es la confirmación de Palo Alto Networks, que indicó que sus soluciones EDR no fueron afectadas por esta técnica.

El futuro de la protección EDR

Con la evolución constante de los ataques cibernéticos, es fundamental que los proveedores de soluciones de EDR continúen innovando. Es esencial implementar capas adicionales de seguridad que incluyan inteligencia artificial y aprendizaje automático para detectar y prevenir ataques en tiempo real.

Buenas prácticas para las empresas

Estrategia de defensa en profundidad

Las organizaciones deben adoptar una estrategia de defensa en profundidad que incluya múltiples capas de seguridad. Esto puede incluir, pero no se limita a, firewalls, sistemas de detección de intrusos y análisis de tráfico de red.

Actualización constante de sistemas

Mantener todos los sistemas y aplicaciones actualizados es crucial para reducir las vulnerabilidades. Asegurarse de que todos los dispositivos de la red cuenten con las últimas actualizaciones de seguridad puede prevenir la explotación de vulnerabilidades conocidas.

Impacto a largo plazo en la ciberseguridad

La constante evolución de las amenazas

El panorama de la ciberseguridad está en constante cambio, y las técnicas de ataque, como la "Bring Your Own Installer", demuestran cómo los atacantes continúan adaptándose. Entonces, es vital permanecer alerta y proactivo en la defensa contra ransomware y otras ciberamenazas.

El valor del compartimiento de información

La comunicación abierta entre empresas, proveedores de soluciones de seguridad y equipos de respuesta a incidentes es fundamental. Compartir información sobre vulnerabilidades y métodos de ataque puede fortalecer la seguridad general del sector y ayudar a las organizaciones a estar mejor preparadas.

Estrategias adicionales de seguridad

Implementación de políticas de acceso

Las organizaciones deben establecer políticas claras de acceso y privilegios para reducir el riesgo de acceso no autorizado. Utilizar el principio de privilegio mínimo debe ser una regla fundamental.

Pruebas de penetración y auditorías de seguridad

Realizar pruebas de penetración periódicas y auditorías de seguridad es crucial para identificar y abordar vulnerabilidades en las infraestructuras de TI. Estas prácticas permiten descubrir vulnerabilidades antes de que los atacantes puedan explotarlas.

En resumen, la nueva técnica de bypass de EDR "Bring Your Own Installer" representa una amenaza significativa en el ámbito de la ciberseguridad. Sin embargo, al implementar las medidas de prevención adecuadas y estar alerta ante las nuevas tácticas de los atacantes, las organizaciones pueden minimizarlas y proteger sus activos digitales. También, recuerda la importancia de contar con un antivirus robusto para mejorar tu seguridad en línea. Para asegurar la protección, por ello siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Fuente: https://www.bleepingcomputer.com/news/security/new-bring-your-own-installer-edr-bypass-used-in-ransomware-attack/