Ataque al abrevadero

Los ciberdelincuentes infectan un sitio web que saben que visitarán sus víctimas.

.st0{fill:#0D3ECC;} DESCARGAR MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

¿Qué es un ataque a un abrevadero?

Tanto si hablamos de ciberseguridad como de la jungla, un ataque de abrevadero es cuando los actores de amenazas atacan a sus objetivos allí donde se congregan. En la naturaleza, un abrevadero es una depresión natural de agua donde los animales sedientos acuden a beber. Con la guardia baja, son presa fácil para cazadores como los leones. En ciberseguridad se trata de un concepto similar, salvo que, en lugar de grandes felinos y gacelas, son hackers los que acechan a los usuarios de ordenadores en la Red.  

¿Cómo funcionan los ataques a los abrevaderos?

Un ataque watering hole es cuando los ciberdelincuentes atacan a individuos, cohortes u organizaciones en un sitio web que frecuentan, utilizando habilidades como el hacking y la ingeniería social. Otra posibilidad es que el atacante atraiga a las víctimas a un sitio web creado por él. Los ataques requieren una ejecución meticulosa en las cuatro fases siguientes:

1. Recopilación de información

El actor de la amenaza recopila inteligencia rastreando los hábitos de navegación web de su objetivo. Entre las herramientas habituales para la recopilación de información se encuentran los motores de búsqueda, las páginas de redes sociales, los datos demográficos de los sitios web, la ingeniería social, el spyware y los keyloggers. A veces, el conocimiento común es de gran ayuda. Al final de esta fase, los ciberdelincuentes tienen una lista de objetivos que utilizarán para un ciberataque.

2. Análisis

Los ciberdelincuentes analizan la lista de sitios web en busca de puntos débiles en dominios y subdominios que puedan explotar. Otra posibilidad es que los atacantes creen un clon de un sitio web malicioso. A veces hacen ambas cosas: comprometen un sitio web legítimo para que conduzca a los objetivos a uno falso.

3. Preparación

Los hackers inyectan en el sitio web exploits para infectar a sus objetivos. Este código puede explotar tecnologías web como ActiveX, HTML, JavaScript, imágenes, etc. para comprometer los navegadores. Para ataques más selectivos, los actores de la amenaza también pueden utilizar kits de exploits que les permiten infectar a visitantes con direcciones IP específicas. Estos kits de explotación son especialmente útiles cuando se centran en una organización.

4. Ejecución

Con el abrevadero listo, los atacantes esperan a que el malware haga su trabajo. Si todo va bien, los navegadores del objetivo descargan y ejecutan el software malicioso desde el sitio web. Los navegadores web pueden ser vulnerables a los exploits transmitidos por la web porque suelen descargar indiscriminadamente código de los sitios web a los ordenadores y dispositivos locales.

¿Qué técnicas utilizan los piratas informáticos en los ataques "watering hole"?

  • Cross-site scripting (XSS): Con este ataque de inyección, un hacker puede insertar scripts maliciosos en el contenido de un sitio para redirigir a los usuarios a sitios web maliciosos.
  • Inyección SQL: Los hackers pueden utilizar ataques de inyección SQL para robar datos.
  • Envenenamiento de la caché DNS: También conocido como DNS spoofing, los hackers utilizan esta técnica de manipulación para enviar a los objetivos a páginas maliciosas.
  • Descargas"drive-by": Los objetivos en un abrevadero pueden descargar contenido malicioso sin su conocimiento, consentimiento o acción en una descarga drive-by.
  • Malvertising: Conocido como malvertising, los hackers inyectan código malicioso en los anuncios de un abrevadero para propagar malware a sus presas.
  • Explotación de día cero: Los actores de amenazas pueden explotar vulnerabilidades de día cero en un sitio web o navegador que los atacantes de watering hole pueden utilizar.

Ejemplos de ataques de riego

2012: Los hackers infectaron el sitio web del Consejo Americano de Relaciones Exteriores (CFR) a través de un exploit de Internet Explorer. Curiosamente, la brecha solo afectó a los navegadores Internet Explorer que utilizaban determinados idiomas.

2013: Un ataque de malware patrocinado por el Estado golpeó los Sistemas de Control Industrial (ICS) en Estados Unidos y Europa, dirigido a los sectores de defensa, energía, aviación, farmacéutico y petroquímico.

2013: Los hackers recopilaron información de los usuarios utilizando el sitio web del Departamento de Trabajo de Estados Unidos como abrevadero.

2016: Los investigadores encontraron un exploit kit personalizado dirigido a organizaciones de más de 31 países, entre ellos Polonia, Estados Unidos y México. El origen del ataque podría haber sido el servidor web de la Autoridad de Supervisión Financiera polaca.

2016: La Organización de Aviación Civil Internacional (OACI), con sede en Montreal, es la puerta de entrada a casi todas las aerolíneas, aeropuertos y agencias nacionales de aviación. Al corromper dos de los servidores de la OACI, un hacker propagó malware a otros sitios web, dejando vulnerables los datos sensibles de 2000 usuarios y miembros del personal.

2017: El malware NotPetya se infiltró en redes de toda Ucrania, infectando a los visitantes de sitios web y borrando los datos de sus discos duros.

2018: Los investigadores encontraron una campaña de riego llamada OceanLotus. Este ataque afectó a sitios web del gobierno camboyano y de medios de comunicación vietnamitas.

2019: Los ciberdelincuentes utilizaron una ventana emergente maliciosa de Adobe Flash para desencadenar un ataque drive-by download en casi una docena de sitios web. Este ataque, denominado Holy Water, afectó a sitios web religiosos, benéficos y de voluntariado.

2020: La empresa estadounidense de tecnologías de la información SolarWinds fue objeto de un ataque de tipo watering hole que tardó meses en descubrirse. Agentes patrocinados por el Estado utilizaron el ataque watering hole para espiar a empresas de ciberseguridad, al Departamento del Tesoro, a Homeland Security, etc.

2021: El Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google descubrió ataques generalizados de "watering hole" dirigidos a visitantes de sitios web de medios de comunicación y pro-democracia en Hong Kong. La infección por malware instalaría una puerta trasera en las personas que utilizan dispositivos Apple.

Ahora: Los ataques de watering hole son una amenaza persistente avanzada (APT ) contra todo tipo de empresas en todo el mundo. Desgraciadamente, los hackers se dirigen a comercios minoristas, inmobiliarias y otros establecimientos con phishing watering hole impulsado por estrategias de ingeniería social.

Ataques contra la cadena de suministro

Aunque los ataques de tipo watering hole y los ataques a la cadena de suministro pueden ser similares, no siempre son lo mismo. Un ataque a la cadena de suministro distribuye malware a través del elemento más débil de la red de una organización, como un proveedor, un vendedor o un socio. Por ejemplo, cinco empresas externas pueden haber funcionado inconscientemente como paciente cero en el ataque Stuxnet contra los ordenadores iraníes protegidos desde el aire. Un ataque a la cadena de suministro también puede utilizar un sitio web comprometido como abrevadero, pero esto no es necesario.

Cómo protegerse contra los ataques de "watering hole

Para los consumidores, las buenas prácticas de ciberseguridad, como tener cuidado con dónde se navega y dónde se hace clic en la web, utilizar un buen programa antivirus y emplear una protección del navegador como Malwarebytes Browser Guard son, en conjunto, una buena forma de evitar los ataques de "watering hole". Browser Guard permite navegar de forma más segura bloqueando las páginas web que contienen malware.

En el caso de las empresas, las mejores prácticas para protegerse contra los ataques de "watering hole" incluyen:

  • Emplee software avanzado de análisis de malware que utilice aprendizaje automático para reconocer comportamientos maliciosos en sitios web y correos electrónicos.
  • Pruebe su solución de seguridad con regularidad y controle el tráfico de Internet en busca de actividades sospechosas.
  • Formar a los usuarios finales en estrategias de mitigación de ataques de watering hole.
  • Utilice los últimos parches de seguridad del sistema operativo y del navegador para reducir el riesgo de exploits.
  • Pruebe los navegadores en la nube en lugar de los navegadores locales para una mayor seguridad.
  • Auditar los permisos que se conceden a los sitios web.
  • Utilice las herramientas Endpoint Detection and Response para Windows y Mac con el fin de proteger los endpoints de su organización frente a las nuevas amenazas de malware.
  • Utilice los recursos de ciberseguridad pertinentes para obtener más información sobre los vectores de amenaza que utilizan los piratas informáticos para los ataques de abrevadero.

Noticias sobre los ataques a abrevaderos