Ataques a sitios web: ESET analiza 9 formas en que los atacantes explotan sus recursos
Si bien el 2020 con la transformaciĂłn digital acelerada y al aumento de conectividad trajeron soluciones, tambiĂ©n los usuarios estuvieron y continĂșan estĂĄn mĂĄs expuestos a ataques. El Ășltimo informe de ESET, compañĂa lĂder en detecciĂłn proactiva de amenazas, ESET Threat Report Q4 2020 revelĂł un crecimiento del 768% de los ataques al RDP (Protocolo de Escritorio Remoto) entre el primer y el Ășltimo cuatrimestre de 2020.
“Resulta mĂĄs sencillo comprender la forma en que los cibercriminales monetizan el compromiso de un sitio que aloja millones de datos personales o de un sitio para realizar compras online en el que se los usuarios ingresan datos sensibles a la hora de realizar un pago electrĂłnico. Pero los sitios sin un atractivo obvio como datos sensibles o informaciĂłn personal que pueda ser expuesta, tambiĂ©n son vĂctimas de ataques. El interĂ©s de los cibercriminales por comprometer sitios web no solo apunta a sitios con un gran nĂșmero de visitantes o usuarios, sino que tambiĂ©n sacan provecho de otros recursos disponibles en pĂĄginas de menor trĂĄfico.”, menciona Martina LĂłpez, Investigadora de Seguridad InformĂĄtica de ESET LatinoamĂ©rica.
A continuaciĂłn, ESET analiza las formas mĂĄs comunes en las que los cibercriminales utilizan los sitios web comprometidos para sus fines maliciosos y porque todos los sitios pueden ser un blanco atractivo:
1. Inyectar un backdoor: Estas puertas traseras, tal como su nombre indica, son vĂas de acceso “escondidas” a la vista del sistema y permiten al atacante controlar de manera remota y continua un sitio comprometido. Un backdoor permite al atacante utilizar el sitio de diversas maneras, con ventanas emergentes o publicidad indeseada, o colocar enlaces escondidos para realizar ataques de inyecciĂłn de contenido SEO o utilizar el sitio para alojar algĂșn archivo malicioso, que serĂĄ referenciado en otro sitio y se descargarĂĄ en el equipo de los usuarios.
Eliminar este tipo de amenazas no es sencillo. Al ser una entrada que ya ha esquivado los controles de seguridad, no basta con cambiar las contraseñas ni eliminar la infecciĂłn que fue plantada, sino que es necesario detectar el cĂłdigo desde su lugar de origen y eliminarlo de raĂz. En caso contrario, quien instalĂł el backdoor puede acceder nuevamente al sitio e infectarlo nuevamente.
2. Ataques de defacement: Esto ocurre cuando un atacante aprovecha una vulnerabilidad para modificar la apariencia visual de un sitio web. Similar a un grafitti, los actores malintencionados plasman un mensaje en particular o su propia firma dejando en claro que son los responsables de los evidentes cambios en el sitio. En el caso de los mensajes, las motivaciones suelen ser sociales, polĂticas o religiosas. Usualmente dejan en claro la causa por la cual realizaron el ataque, mencionando a los culpables, que pueden ser o no los dueños del sitio vĂctima. AdemĂĄs, en algunos casos se hace uso del factor shock, mostrando imĂĄgenes o datos crudos. Por ejemplo, durante el pasado 18 de octubre un sitio involucrado en las elecciones de Estados Unidos estuvo bajo este tipo de ataque.
3. Ataques de inyecciĂłn de contenido SEO: Dado que la calidad y cantidad de enlaces que recibe un sitio web es un factor importante en el posicionamiento en los motores de bĂșsqueda, los ataques de inyecciĂłn SEO son aquellos en los que un atacante busca comprometer un sitio para colocar enlaces hacia otros sitios bajo su control con la intenciĂłn de mejorar su posicionamiento y aumentar su alcance.
Estos enlaces usualmente se encuentran en lugares inusuales, como el pie de pĂĄgina, cerca de una publicidad benigna, o en cualquier lugar que tenga poca visibilidad o una menor probabilidad de que un usuario haca clic. Esto nos habla sobre lo difĂcil que es detectar este tipo de ataque, puesto que pasa desapercibido para la mayorĂa de los visitantes. Los atacantes recurren a esta tĂ©cnica con sitios potencialmente ilegales, para los cuales no es una opciĂłn tener publicidad de forma legal: sitios de descargas ilegales, compra y venta de artĂculos prohibidos, sitios de engaños, entre otros.
4. CreaciĂłn de pĂĄginas de spam: El objetivo de este ataque es aumentar la popularidad de un sitio en un motor de bĂșsqueda. Como contraparte, lo inyectado en el sitio comprometido no se trata de enlaces, sino de mĂșltiples pĂĄginas HTML que incluyen enlaces a contenido spam o contenido indeseado, como publicidad o enlaces a sitios afiliados con fines monetarios.
De no ser mitigado rĂĄpidamente, la infecciĂłn puede volverse profunda a un nivel tan alto que cause que a la hora de buscar un sitio en los motores de bĂșsqueda aparezcan estas pĂĄginas inyectadas por el atacante en los resultados.
5. CreaciĂłn de mailers en PHP: Los atacantes abusan de los mailers para vulnerar el mecanismo de envĂo de correos del servidor de un sitio, tomando control para poder difundir sus propias comunicaciones. Estas pueden variar desde spam o publicidad indeseada, hasta campañas de phishing para robar informaciĂłn o descargar malware.
El principal atractivo de un sitio para los cibercriminales que buscan inyectar mailers se basa en la reputaciĂłn del sitio: Si es un sitio confiable, como el de una empresa reconocida, probablemente un correo proveniente de ella evada los filtros antispam de los proveedores de servicios de correo electrĂłnico. De esta manera, se aseguran quedar bajo el radar de detecciĂłn y llegar a mĂĄs potenciales vĂctimas que enviĂĄndolo desde una direcciĂłn de correo anĂłnima. AdemĂĄs de los riesgos que supone para los usuarios que un sitio sea vĂctima de este tipo de ataque, los propietarios tambiĂ©n pueden verse afectados: los proveedores de hosting de sitios web, para proteger la reputaciĂłn de su servicio, constantemente dan de baja o incluyen en una “lista negra” aquellos sitios que producen spam a travĂ©s de un mailer.
6. Distribuir campañas de phishing: El phishing es un clĂĄsico de los ataques de ingenierĂa social. Consiste en el envĂo de correos electrĂłnicos en los que se suplanta la identidad de algĂșn remitente confiable (por ejemplo, un banco o tienda online), el cual supuestamente solicita al receptor que haga clic en un enlace malicioso para luego ser dirigido a una pĂĄgina en la cual deberĂĄ ingresar sus datos personales, como credenciales o datos bancarios, con motivo de resolver alguna urgencia o problema de gravedad. El phishing es, por lejos, el mĂ©todo mĂĄs popular de robo de informaciĂłn en circulaciĂłn.
En un sitio comprometido, los atacantes pueden crear una pĂĄgina web dentro del mismo que se hace pasar por el sitio web oficial de una marca o entidad, ya sea suplantando la identidad del sitio vulnerado o no. Una vez que las vĂctimas son dirigidas a estas pĂĄginas, es muy probable que se solicite ingresar datos personales.
7. Redireccionar a los usuarios a sitios maliciosos: Un redireccionamiento malicioso es aquel que lleva a usuarios legĂtimos a ingresar a una pĂĄgina web que no se corresponde con el enlace en el cual hicieron clic. Los sitios a los que se redirecciona a las vĂctimas suelen ser utilizados para ofrecer contenido spam o descargar malware en el equipo de la vĂctima. SegĂșn sea el cĂłdigo malicioso descargado en el equipo de la vĂctima el atacante podrĂĄ: robar informaciĂłn, seguir propagĂĄndose o hasta cifrar los archivos del equipo para luego pedir dinero para su rescate.
8. Utilizarlos como Command & Control (C&C): Los atacantes utilizan estos sitios para comunicarse con los sitios y/o dispositivos que conforman una botnet, una red de sitios o dispositivos infectados, conocidos como “zombies”, que son controlados por el atacante mediante un servidor maestro para realizar acciones maliciosas o expandirse a otros dispositivos. Este servidor maestro, tambiĂ©n conocido como Comando & Control (C&C, por sus siglas en inglĂ©s o C2), debe pasar desapercibido el mayor tiempo posible. A pesar de ser mĂĄs frecuentes los ataques donde los “zombies” son equipos fĂsicos, los dirigidos a sitios web no son poco frecuentes. Explotando vulnerabilidades en distintos complementos, como plugins o extensiones, los atacantes transforman a los sitios en zombies para luego atacar a otros sitios y/o infectar a sus usuarios.
9. Inyectar un malware para minar criptomonedas: Un atacante puede comprometer un sitio para inyectar un script y asĂ utilizar los recursos del equipo del visitante, sin su consentimiento, para minar criptomonedas. Mediante una puerta de entrada, como un backdoor o una botnet, los atacantes pueden instalar en sitios comprometidos un minero de criptomonedas. En este ataque, lo que se aprovecha son los recursos del hosting del sitio, independientemente del trĂĄfico que reciba.
Al igual que en la mayorĂa de los ataques antes mencionados, esto puede ser detectado por la empresa que ofrece el servicio de hosting al sitio y, de ser asĂ, el sitio puede ser penalizado e incluso desconectado de la web, causando que el sitio no estĂ© disponible por un tiempo indefinido.
“Las vulnerabilidades de un sitio web pueden estar en plugins, temas o complementos instalados que tengan fallas de seguridad o estĂ©n que desactualizados. Por eso desde ESET, recomendamos mantenerlos actualizados con la Ășltima versiĂłn y monitorearlos constantemente para detectar lo antes posible cualquier actividad sospechosa con herramientas disponibles para escanear los sitios. AdemĂĄs, realizar backup de forma periĂłdica para respaldar la informaciĂłn importante y de esta manera poder recuperarla en caso de algĂșn incidente. A esto se suman las recomendaciones usuales: utilizar contraseñas seguras y contar con una soluciĂłn de seguridad actualizada.”, concluye LĂłpez, Investigadora de ESET LatinoamĂ©rica.
Post a Comment