Ataque al abrevadero

Un ataque de watering hole es cuando los ciberdelincuentes infectan un sitio web que saben que sus víctimas previstas visitarán.

.st0{fill:#0D3ECC;} DESCARGA MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

¿Qué es un ataque de watering hole?

Ya sea que hablemos de ciberseguridad o de la selva, un ataque de watering hole es cuando actores de amenaza golpean a sus objetivos donde se congregan. En la naturaleza, un watering hole es una depresión natural de agua donde los animales sedientos vienen a beber. Con la guardia baja, son presas más fáciles para los cazadores como los leones. Es un concepto similar en ciberseguridad, excepto que en lugar de grandes felinos y gacelas, son hackers acechando a usuarios de computadoras en el web.  

¿Cómo funcionan los ataques de watering hole?

Un ataque de watering hole es cuando los ciberdelincuentes atacan a individuos, grupos u organizaciones en un sitio web que frecuentan, usando habilidades como hacking e ingeniería social. Alternativamente, el atacante puede atraer a las víctimas a un sitio web que crean. Los ataques requieren una ejecución meticulosa en las siguientes cuatro fases:

1. Recolección de inteligencia

El actor de la amenaza recopila inteligencia rastreando los hábitos de navegación web de su objetivo. Entre las herramientas habituales para la recopilación de información se encuentran los motores de búsqueda, las páginas de redes sociales, los datos demográficos de los sitios web, la ingeniería social, el spyware y los keyloggers. A veces, el conocimiento común es de gran ayuda. Al final de esta fase, los ciberdelincuentes tienen una lista de objetivos que utilizarán para un ciberataque.

2. Análisis

Los ciberdelincuentes analizan la lista de sitios web en busca de debilidades de dominio y subdominio que puedan explotar. Alternativamente, los atacantes pueden crear un clon malicioso de un sitio web. A veces hacen ambas cosas: comprometer un sitio web legítimo para que dirija a los objetivos a uno falso.

3. Preparación

Los hackers inyectan en el sitio web exploits para infectar a sus objetivos. Este código puede explotar tecnologías web como ActiveX, HTML, JavaScript, imágenes, etc. para comprometer los navegadores. Para ataques más selectivos, los actores de la amenaza también pueden utilizar kits de exploits que les permiten infectar a visitantes con direcciones IP específicas. Estos kits de explotación son especialmente útiles cuando se centran en una organización.

4. Ejecución

Con el abrevadero listo, los atacantes esperan a que el malware haga su trabajo. Si todo va bien, los navegadores del objetivo descargan y ejecutan el software malicioso desde el sitio web. Los navegadores web pueden ser vulnerables a los exploits transmitidos por la web porque suelen descargar indiscriminadamente código de los sitios web a los ordenadores y dispositivos locales.

¿Qué técnicas utilizan los hackers en los ataques de watering hole?

  • Cross-site scripting (XSS): Con este ataque de inyección, un hacker puede insertar scripts maliciosos en el contenido de un sitio para redirigir a los usuarios a sitios web maliciosos.
  • Inyección SQL: Hackers pueden utilizar ataques de inyección SQL para robar datos.
  • Envenenamiento de caché DNS: También conocido como suplantación DNS, los hackers utilizan esta técnica de manipulación para enviar objetivos a páginas maliciosas.
  • Descargas drive-by: Los objetivos en un watering hole pueden descargar contenido malicioso sin su conocimiento, consentimiento o acción en un drive-by download.
  • Malvertising: Conocido como malvertising, hackers inyectan código malicioso en los anuncios de un abrevadero para propagar malware a sus presas.
  • Explotación de día cero: Los actores de la amenaza pueden explotar vulnerabilidades de día cero en un sitio web o navegador que los atacantes de watering hole pueden utilizar.

Ejemplos de ataques de watering hole

2012: Hackers infectaron el sitio web del Consejo de Relaciones Exteriores de América a través de un exploit de Internet Explorer. Curiosamente, el watering hole solo afectó a los navegadores de Internet Explorer que utilizaban ciertos idiomas.

2013: Un ataque de malware patrocinado por el estado afectó a los Sistemas de Control Industrial (ICS) en Estados Unidos y Europa, atacando los sectores de defensa, energía, aviación, farmacéutico y petroquímico.

2013: Los hackers recolectaron información de usuarios usando el sitio web del Departamento de Trabajo de Estados Unidos como un watering hole.

2016: Investigadores descubrieron un kit de exploit personalizado dirigido a organizaciones en más de 31 países, incluyendo Polonia, Estados Unidos y México. La fuente del ataque pudo haber sido el servidor web de la Autoridad de Supervisión Financiera de Polonia.

2016: La Organización de Aviación Civil Internacional (OACI), con sede en Montreal, es una puerta de entrada a casi todas las aerolíneas, aeropuertos y agencias de aviación nacionales. Al corromper dos de los servidores de OACI, un hacker difundió malware a otros sitios web, dejando los datos sensibles de 2000 usuarios y miembros del personal vulnerables.

2017: El malware NotPetya se infiltró en redes de toda Ucrania, infectando a los visitantes de sitios web y borrando los datos de sus discos duros.

2018: Investigadores encontraron una campaña de watering hole llamada OceanLotus. Este ataque afectó sitios web del gobierno camboyano y medios vietnamitas.

2019: Los ciberdelincuentes usaron un pop-up malicioso de Adobe Flash para desencadenar un ataque de drive-by download en casi una docena de sitios web. Llamado Holy Water, este ataque afectó sitios web religiosos, de caridad y voluntarios.

2020: La empresa estadounidense de tecnología de la información SolarWinds fue el objetivo de un ataque de watering hole que tardó meses en descubrirse. Agentes patrocinados por el estado usaron el ataque de watering hole para espiar a empresas de ciberseguridad, el Departamento del Tesoro, Seguridad Interior, etc.

2021: El Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google descubrió ataques generalizados de "watering hole" dirigidos a visitantes de sitios web de medios de comunicación y pro-democracia en Hong Kong. La infección por malware instalaría una puerta trasera en las personas que utilizan dispositivos Apple.

Ahora: Los ataques de watering hole son una amenaza persistente avanzada (APT ) contra todo tipo de empresas en todo el mundo. Desgraciadamente, hackers se dirigen a comercios minoristas, inmobiliarias y otros establecimientos con phishing watering hole impulsado por estrategias de ingeniería social.

Ataques de watering hole vs ataques a la cadena de suministro

Aunque los ataques de watering hole y los ataques a la cadena de suministro pueden ser similares, no siempre son lo mismo. Un ataque a la cadena de suministro entrega malware a través del elemento más débil en la red de una organización, como un proveedor, vendedor o socio. Por ejemplo, cinco empresas externas pudieron haber funcionado sin saberlo como paciente cero en el ataque Stuxnet a las computadoras air-gapped de Irán. Un ataque a la cadena de suministro también puede usar un sitio web comprometido como un watering hole, pero esto no es necesario.

Cómo protegerse contra los ataques de watering hole

Para los consumidores, las buenas prácticas de ciberseguridad, como tener cuidado con dónde navega y hace clic en la web, utilizar un buen programa antivirus y usar protección del navegador como Malwarebytes Browser Guard Guard, son colectivamente una buena forma de evitar los ataques de watering hole. Browser Guard le permite navegar de forma más segura bloqueando las páginas web que contienen malware.

Para las empresas, las mejores prácticas para protegerse contra ataques de watering hole incluyen:

  • Emplee software avanzado de análisis de malware que utilice aprendizaje automático para reconocer comportamientos maliciosos en sitios web y correos electrónicos.
  • Prueba regularmente tu solución de seguridad y monitorea tu tráfico de Internet en busca de actividad sospechosa.
  • Capacita a los usuarios finales sobre estrategias de mitigación de ataques de watering hole.
  • Usa los últimos parches de seguridad para el sistema operativo y el navegador para reducir el riesgo de exploits.
  • Pruebe los navegadores en la nube en lugar de los navegadores locales para una mayor seguridad.
  • Audita los permisos que se otorgan a los sitios web.
  • Usa herramientas de Detección y Respuesta de Endpoint para Windows y Mac con el fin de proteger los endpoints en tu organización de amenazas emergentes de malware.
  • Utiliza recursos de ciberseguridad relevantes para aprender más sobre los vectores de amenaza que los hackers usan para ataques de watering hole.

Noticias sobre ataques de watering hole