El movimiento lateral es el proceso que usan los atacantes para adentrase en una red infectada para controlar sistemas u obtener acceso a información sensible y a vulnerabilidades.
Índice
En lugar de atacar inmediatamente a sistemas críticos o ir tras información sensible, los atacantes toman su tiempo para explorar la red, incrementar sus privilegios de acceso, identificar blancos de alto valor y establecer una presencia dentro de la red. Este enfoque calculado es común en amenazas avanzadas persistentes (APTs) y otros ciberataques sofisticados.
Incluso si se descubre una brecha, el atacante puede mantener su presencia y moverse lateralmente dentro de la red para evitar la detección. Si los atacantes logran persistir dentro de la red y evitar la detección, pueden infligir daños severos a la organización por medio de ataques de ransomware, exfiltración de datos o espionaje.
Las etapas del movimiento lateral
Los ataques de movimiento lateral no son un proceso de un solo paso, sino que se ejecutan cuidadosamente en un proceso de múltiples etapas para infiltrarse y explotar las redes. Las siguientes son las etapas comunes del movimiento lateral:
Reconocimiento
En la etapa de reconocimiento, los atacantes comenzarán por mapear la arquitectura de la red, identificar los dispositivos conectados y buscar blancos valiosos. Los atacantes explorarán y mapearán la red, incluyendo la ubicación de información sensible, credenciales y configuraciones de seguridad. Esta es una etapa crucial para el atacante, ya que le ayuda a entender las relaciones entre los sistemas y planear sus próximos pasos mientras evita la detección de los sistemas de seguridad.
Recopilación de credencial
Una vez que se ha completado el reconocimiento, los atacantes a menudo se enfocarán en obtener credenciales como usuarios, contraseñas o hashes de contraseñas de los sistemas comprometidos. Las herramientas de dumping de credenciales como Mimikatz o ataques de fuerza bruta contra contraseñas débiles son métodos comunes que se usan para obtener acceso a las cuentas con mayores privilegios. Además, aplicar el principio del privilegio mínimo asegura que los usuarios solamente tienen acceso a los recursos que necesitan, limitando aún más los accesos no autorizados.
Incremento de privilegios
El incremento (o escalamiento) de privilegios involucra explotar las vulnerabilidades, fallas de configuración o controles inadecuados de acceso en los sistemas para obtener permisos de mayor nivel. Los atacantes podrían explotar fallas en una aplicación para obtener privilegios administrativos y ganar acceso ilimitado a sistemas críticos. El escalamiento de privilegios es una etapa crítica en un ataque de movimiento lateral porque incrementa significativamente la capacidad de un atacante para moverse dentro de la red.
Movimiento lateral
Una vez que los atacantes cuentan con credenciales y privilegios suficientes, pueden proceder a moverse lateralmente. Esto involucra navegar de un sistema a otro dentro de la red, acceder a recursos y prepararse para las etapas finales de su ataque, además de cuidarse de cualquier medida que pudiesen tomar los equipos de seguridad para detener sus planes. Los atacantes podrían usar herramientas legítimas como Remote Desktop Protocol (RDP), PowerShell o Windows Management Instrumentation (WMI) para ocultarse entre las operaciones normales y evitar ser detectados. Los atacantes también podrían instalar backdoors o establecer mecanismos de persistencia para mantener el acceso a la red, incluso si se descubre y bloquea su punto original de entrada.
Acceso y ejecución de objetivos
Después de moverse lateralmente, los atacantes alcanzan los sistemas objetivo, los cuales podrían almacenar información sensible, propiedad intelectual o infraestructura crítica. Los ataques también podrían ejecutar software malicioso como ransomware para encriptar archivos, exfiltrar información sensible o deshabilitar sistemas para interrumpir las operaciones. Este paso es a menudo la culminación del proceso de movimiento lateral. Entre más tiempo los atacantes tengan acceso a la red sin ser detectados, más daño pueden causar.
¿Qué tipos de ataques usan el movimiento lateral?
Ataque de ransomware
El movimiento lateral es un componente clave de las campañas de ransomware. Los atacantes pueden moverse entre sistemas para propagar el malware, maximizando su impacto ante de encriptar la información y pedir un pago de rescate. Esta estrategia incrementa las probabilidades de recibir exitosamente un pago de rescate, ya que organizaciones enteras podrían verse paralizadas por el ataque.
Exfiltración de datos
Los atacantes a menudo dependen del movimiento lateral para localizar y extraer información sensible. Al infiltrarse en distintas partes de la red, pueden identificar información valiosa como propiedad intelectual, registros financieros o información de identificación personal (PII). Una exfiltración exitosa de datos puede resultar en daños financieros y de reputación severos para las organizaciones.
Espionaje y amenazas persistentes avanzadas (APTs)
Actores estatales y grupos sofisticados de hackers usan el movimiento lateral para infiltrarse en sistemas de alto valor por largos periodos de tiempo. Estos atacantes buscan mantener una presencia persistente dentro de la red, obteniendo inteligencia y comprometiendo la infraestructura crítica sin ser detectados.
Infección de botnets
En las campañas de botnets, el movimiento lateral permite que los atacantes comprometan dispositivos adicionales dentro de la red. Al infectar múltiples endpoints, los atacantes pueden expandir la escala de sus ataques. Esto podría ser por medio de ataques DDoS (distributed denial-of-service) o en campañas de spam de gran escala.
Cómo detectar el movimiento lateral
Monitoreo de logs de autentificación
Los logs de autentificación son una fuente vital de información para detectar el movimiento lateral. Indicios como varios inicios de sesión fallidos, inicios de sesión exitosos desde ubicaciones inusuales o accesos inesperados durante horas extrañas podrían indicar actividades maliciosas. Revisar regularmente estos logs ayuda a identificar accesos no autorizados.
Uso de soluciones EDR y XDR
Las herramientas de Endpoint Detection and Response (EDR) monitorean dispositivos individuales para detectar actividades sospechosas, como comandos administrativos no autorizados. Sin embargo, EDR por sí solo podría no ser capaz de detectar el movimiento lateral, especialmente cuando los atacantes usan técnicas de evasión o deshabilitan las medidas de protección. Extended Detection and Response (XDR) aborda este problema al integrar la información a través de endpoints, redes, servidores y ambientes en la nube. Al correlacionar las actividades a través de estas capas, XDR mejora la visibilidad y ayuda a detectar las amenazas que podrían evadir el EDR, convirtiéndola en una solución para identificar el movimiento lateral.
Análisis de tráfico de red
Las herramientas de análisis de tráfico de red (NTA) ayudan a identificar flujos irregulares de información dentro de la red. Por ejemplo, son fuertes indicadores de movimiento lateral las transferencias inesperadas de archivos entre sistemas no relacionados entre sí, o un número excesivo de descargas de archivos a destinos externos.
Establecer líneas base de comportamiento
Al crear líneas base para las actividades normales, las organizaciones pueden identificar actividades inusuales con mayor facilidad. Por ejemplo, un incremento inesperado en el uso de PowerShell en un sistema que rara vez lo usa podría indicar la presencia de un atacante. Monitorear las líneas base requiere de un registro y análisis constante para poder ser efectivo.
Cómo prevenir el movimiento lateral
Segmentar la red
Dividir las redes en segmentos aislados limita la capacidad de los atacantes para moverse libremente entre sistemas. Por ejemplo, separar la infraestructura crítica de los dispositivos de uso general asegura que incluso si un atacante compromete un segmento, su impacto será menor.
Adoptar arquitectura Zero Trust
Los principios de zero trust requieren de verificación estricta para cada solicitud, sin importar su origen es dentro o fuera de la red. Este enfoque minimiza la dependencia en la defensa del perímetro y refuerza lo controles de acceso.
Implementar autentificación multifactor (MFA)
MFA agrega una capa extra de seguridad a la autentificación de usuarios, haciendo que sea más difícil para los atacantes abusar de credenciales robadas. Al requerir que los usuarios verifiquen su identidad en distintos pasos, las organizaciones reducen la efectividad del robo de credenciales.
Actualizar y parchar sistemas con regularidad
Las vulnerabilidades sin parchar son puntos de entrada atractivos para los atacantes. Mantener un calendario consistente para aplicar parches asegura que los sistemas se encuentran protegidos ante exploits, reduciendo el riesgo de que ocurra movimiento lateral.
Limitar privilegios
Aplicar el principio del privilegio mínimo restringe el acceso de los usuarios a únicamente lo que es necesario para realizar sus funciones. Esto limita la capacidad de los atacantes para escalar privilegios o acceder a información sensible si llegasen a comprometer una cuenta.
Capacitar a empleados
Educar a los empleados sobre tácticas de phishing e ingeniería social ayuda a reducir el riesgo de un compromiso inicial. Las sesiones de capacitación regulares aseguran que el personal tiene conocimiento sobre amenazas emergentes y comprende las mejores prácticas para mantener la seguridad.
Evitar accesos no autorizados con contraseñas fuertes
Las contraseñas fuertes y únicas son cruciales para prevenir accesos no autorizados a la red. Las contraseñas débiles o que se utilicen en varias cuentas son blancos comunes para los atacantes para escalar privilegios o moverse entre sistemas. Hacer cumplir políticas de contraseñas, implementar autentificación multifactor (MFA) y cambiar credenciales regularmente puede reducir este riesgo. El uso de administradores de contraseñas puede ayudar a asegurar que las contraseñas son seguras y únicas. Además, aplicar el principio del privilegio mínimo asegura que los usuarios solamente tienen acceso a los recursos que necesitan, limitando aún más los accesos no autorizados.
¿Cuáles son las soluciones de seguridad que pueden ayudar con los ataques de movimiento lateral?
Los equipos de seguridad necesitan mucho más que solamente visibilidad. Necesitan claridad, priorización y acciones coordinadas para proteger a su organización contra los ataques de movimiento lateral. Trend Vision One™ Security Operations (SecOps) reúne nuestras galardonadas soluciones de XDR, SIEM agentic y SOAR (Security Orchestration, Automation, and Response) para ayudar a los equipos a mantener el foco en lo que más importa.
Joe Lee
Vice President of Product Management
Joe Lee es Vice Presidente de Gestión de Producto en Trend Micro, donde lidera el desarrollo y la estrategia global y de productos para soluciones empresariales de email y redes.