Vea qué es la Cyber Kill Chain y lo que su equipo de TI necesita saber sobre ese conjunto de acciones.
Cyber Kill Chain es un término que califica un conjunto de acciones, categorizadas por las Fuerzas Armadas Americanas, el cual pretende explicar cómo funciona un ciberataque y cómo actúan los cibercriminales antes de alcanzar su objetivo principal. Las acciones que abarca el término son cinco: reconnaissance (reconocimiento), weaponization (armamento), deliver, exploit and install (entregar, explorar e instalar), command and control (ordenar y controlar) y actions on objectives (acciones en los objetivos). El tercer ítem es una mezcla de tres acciones específicas.
Entienda más sobre cada una de las acciones que suceden dentro de la Cyber Kill Chain:
1 – Reconocimiento
El reconocimiento es la etapa donde el cibercriminal realiza todo tipo de investigaciones sobre quien quiere atacar. En esa fase, se recolecta toda la información disponible en páginas sobre los trabajadores, el horario de funcionamiento de la empresa, las IP públicas y los servidores de la empresa. Es común que los cibercriminales frecuenten el LinkedIn de la empresa para averiguar más sobre ella. Dentro de la página, se pueden nombrar algunos trabajadores de alto cargo y ellos son blanco de varios tipos de ingeniería social de los criminales. Por eso, es necesario estar atento a ese tipo de información sensible, disponible en Internet.
Con las herramientas disponibles hoy, los cibercriminales recolectan información y reconocen blancos de varios tipos: direcciones de e-mail, redes sociales, barridos en servidores y muchos otros tipos de datos.
Evitar esa etapa es un poco complicado, después de todo, esos datos son públicos. Sin embargo, es posible controlar algunos datos más sensibles como los e-mails de los profesionales de altos cargos de la empresa, para evitar la recolección de datos por parte de los criminales.
2 – Armamento
Después de analizar los datos recolectados, los hackers utilizan la creatividad para desarrollar herramientas, armas y tipos de ataques para lograr su objetivo final en la empresa. Independientemente de la forma en la que obtienen las herramientas, ya sea comprándolas o produciéndolas, ese momento es crucial para que el ataque tenga éxito.
Es importante recordar que esas herramientas pueden explorar vulnerabilidades conocidas o divulgadas recientemente. Esa fase del ataque se puede evitar usando herramientas como el NIDS, que detecta esos tipos de ciberataques antes de que realmente sucedan.
3 – Entregar, explorar e instalar
La primera parte de esta etapa es el acto de entregar. El hacker le enviará el programa que explora la vulnerabilidad a alguien dentro de la empresa que tenga cierta importancia, para permitir que su ataque tenga éxito. El tipo de entrega más común es el phishing a personas de altos cargos, ya que el cibercriminal quiere permisos de acceso altos, dentro de la empresa.
Con la herramienta enviada, la vulnerabilidad será explorada cuando el blanco abra el archivo o lo ejecute de alguna forma. Esa es la segunda parte de esta etapa. Al final de esta fase, se instala un backdoor en el sistema de la empresa, el cual permite la entrada del cibercriminal.
Para evitar el ataque desde esta fase, será necesario filtrar muy bien los medios de entrada del hacker en el sistema. Por ejemplo: filtrar e-mails sospechosos, concienciar a las personas dentro de la empresa sobre no hacer clic en cualquier tipo de e-mails sospechosos, entre otras medidas cautelares.
4 – Ordenar y controlar
Después de haber explorado la vulnerabilidad, surge la fase de ordenar y controlar el sistema de la empresa. La máquina infectada se vuelve un zombi, al final, el cibercriminal ahora es su dueño.
Este es el último paso para evitar el ciberataque. Todo se hace más complicado, pero el aislamiento de la máquina es una de las primeras cosas que se deben hacer al detectar la infección. Después, es necesario entender cómo funciona el malware y cómo actúa.
5 – Acciones en los objetivos
En esta última fase, es mucho más difícil eliminar el ciberataque. Sin embargo, si las verificaciones mencionadas anteriormente se realizan, probablemente ni el malware ni el cibercriminal lograrán alcanzar su objetivo.
