Por Fernando Cuervo, SVP of Growth & EMEA de Lumu Technologies
El 48% de los ataques de ransomware evaden con éxito las soluciones de EDR. Atacantes como Qilin están explotando la «tuning gap” en la seguridad tercerizada. En este artículo analizamos ¿cómo puedes recuperar el control?
– ¿Su solución de EDR está deteniendo los ataques de manera efectiva, o los atacantes están logrando eludirlos?
Un análisis reciente de los patrones de los actores de amenazas transnacionales sugiere un cambio en el panorama. Grupos sofisticados como Qilin ya no se centran en «romper» el software de seguridad. En su lugar, explotan las brechas estructurales en la forma en que se administra y monitorea dicho software.
Los datos emergentes de las tendencias de intrusión en el sector público muestran que la principal vulnerabilidad es la falta de ajustes personalizados (custom tuning). Los atacantes ahora buscan entornos donde la seguridad se subcontrata a terceros. Apuestan a que las configuraciones «estándar» no lograrán marcar las herramientas legítimas utilizadas con fines maliciosos.
Al convertir en un arma el software que tu equipo de TI usa a diario, estos actores se mueven a través de sesiones de usuarios válidas sin activar una alerta.
Datos rápidos: El panorama de ataques ha evolucionado
● Evasión estandarizada: Aproximadamente el 48% de los ataques de ransomware recientes evitaron o desactivaron con éxito la Detección y Respuesta de Endpoints (EDR).
● El objetivo: Los atacantes priorizan las redes subcontratadas donde las configuraciones estándar crean puntos ciegos predecibles.
● Tiempo de permanencia (Dwell Time): Los atacantes que apuntan al sector público prefieren el robo lento de datos en lugar del daño inmediato. Su capacidad para eludir la tecnología EDR les permite disfrutar de tiempos de permanencia más largos dentro de las redes vulneradas.
● Confianza convertida en arma: Grupos como Qilin y Play abusan de herramientas legítimas de administración remota y greyware (programas que no siempre se reconocen como malware) para pasar desapercibidos.
● Persistencia invisible: Los actores utilizan tácticas de Living off the Land (LotL) para mantener el acceso sin malware personalizado.
● Herramientas industrializadas: Los grupos organizados ahora monetizan la amenaza desarrollando y vendiendo herramientas personalizadas de evasión de EDR a otros criminales.
Analicemos este panorama con más detalle.
El dilema de la seguridad: ¿Por qué los atacantes apuntan a redes donde el EDR es administrado por un tercero?
Contratar la gestión profesional de la ciberdefensa suele ser la mejor opción para las organizaciones más pequeñas. Sin embargo, subcontratar a un tercero puede conllevar riesgos. Algunos proveedores de servicios carecen de los recursos para ajustar la telemetría al comportamiento único de cada cliente. Esto crea un panorama predecible donde los atacantes operan en puntos ciegos conocidos.
Análisis recientes de los patrones de actores de amenazas transnacionales muestran que grupos como Qilin aprovechan esta falta de personalización para camuflarse con el tráfico legítimo. Si las reglas de seguridad no se actualizan regularmente con la telemetría actual para detectar herramientas de anulación de EDR (software o scripts especializados diseñados para cegar, deshabilitar o eludir los agentes de seguridad de los endpoints), la defensa se convierte en una hoja de ruta para el adversario.
Un EDR bien ajustado actúa como un sensor personalizado, utilizando reglas específicas para marcar anomalías como el process hollowing silencioso o implantes de aspecto benigno que la configuración estándar ignora. Sin este ajuste, las alertas de EDR pueden enrutarse a través de terceros que no notifican a la víctima, lo que permite que la intrusión continúe desapercibida. Este déficit aumenta el riesgo de una post explotación «silenciosa», donde los atacantes mantienen presencia sin activar ninguna alarma.
Tiempo de permanencia (Dwell Time): ¿Por qué los atacantes permanecen más tiempo en las redes del sector público que en las corporativas?
Datos recientes de las tendencias de intrusión en el sector público muestran un cambio hacia estrategias de Permanencia y Extracción (Dwell and Extract). En entornos corporativos, el objetivo suele ser el cifrado inmediato para obtener un pago. En el sector público, los datos en sí (como información de identificación personal [PII] confidencial o comunicaciones estratégicas) son el premio principal.
Los atacantes mantienen un perfil bajo durante meses para mapear redes e identificar activos estratégicos. Esta paciencia les permite establecer puntos de acceso redundantes y acceder a copias de seguridad seguras antes de ser detectados.
Los datos del sector público destacan casos en los que los actores permanecieron ocultos durante más de sesenta días, esperando una ventana específica, como el vencimiento de una factura importante, para cometer fraudes millonarios.
Living off the Land: ¿Cómo permanecen indetectables los actores de amenazas mientras se mueven por una red?
Los actores de amenazas se han alejado del malware personalizado hacia un método estandarizado de uso de herramientas administrativas legítimas. Este enfoque de Living off the Land (LotL) les permite integrarse con las operaciones diarias de tu equipo de TI. Al utilizar software autorizado, los atacantes evitan activar las alertas tradicionales basadas en firmas.
Para los grupos de alto impacto, esta metodología se ha convertido en un proceso de negocio central y repetible, en lugar de una serie de trucos aislados. Más de una docena de grupos de ransomware ahora han incorporado herramientas de anulación de EDR a nivel de kernel en sus paquetes de malware para cegar a los agentes de seguridad desde adentro.
Un análisis reciente de los patrones de los actores de amenazas transnacionales revela que los atacantes implementan con frecuencia software legítimo de administración remota, como AnyDesk y ScreenConnect, para eludir la seguridad del EDR.
Grupos como Qilin recolectan credenciales y tokens para moverse entre sesiones de usuarios válidas, eludiendo incluso la Autenticación Multifactor (MFA) a través de ataques de repetición de tokens (token replay).
Estos actores también aprovechan la técnica de «Trae tu propio controlador vulnerable» (BYOVD, por sus siglas en inglés) para deshabilitar los mecanismos de defensa a nivel de kernel. Al depender de una débil higiene de seguridad interna, como las credenciales de administrador predeterminadas, mantienen la persistencia sin introducir ni un solo fragmento de malware personalizado.
¿Cómo pueden las organizaciones defenderse de un adversario que imita a su propio equipo de TI?
La industrialización del sigilo significa que el simple hecho de tener herramientas de seguridad ya no es suficiente. Los actores de amenazas se han adaptado para derrotar el EDR estándar explotando las brechas de gestión y convirtiendo las credenciales de confianza en armas.
Depender de las defensas perimetrales proporciona una falsa sensación de seguridad. La verdadera resiliencia proviene de una visibilidad profunda de tu red para distinguir entre la actividad administrativa legítima y la post explotación silenciosa.
En un panorama donde la evasión es un producto básico (commodity), la mejor defensa es un entorno demasiado bien ajustado como para esconderse en él.
