¿Qué es un ataque de watering hole?
Ya sea que hablemos de ciberseguridad o de la selva, un ataque de watering hole es cuando actores de amenaza golpean a sus objetivos donde se congregan. En la naturaleza, un watering hole es una depresión natural de agua donde los animales sedientos vienen a beber. Con la guardia baja, son presas más fáciles para los cazadores como los leones. Es un concepto similar en ciberseguridad, excepto que en lugar de grandes felinos y gacelas, son hackers acechando a usuarios de computadoras en el web.
¿Cómo funcionan los ataques de watering hole?
Un ataque de watering hole es cuando los ciberdelincuentes atacan a individuos, grupos u organizaciones en un sitio web que frecuentan, usando habilidades como hacking e ingeniería social. Alternativamente, el atacante puede atraer a las víctimas a un sitio web que crean. Los ataques requieren una ejecución meticulosa en las siguientes cuatro fases:
1. Recolección de inteligencia
El actor de amenaza recoge inteligencia rastreando los hábitos de navegación web de su objetivo. Herramientas comunes para la recolección de inteligencia incluyen motores de búsqueda, páginas de redes sociales, datos demográficos de sitios web, ingeniería social, spyware y keyloggers. A veces, el conocimiento común es de gran ayuda. Al final de esta fase, los ciberdelincuentes tienen una lista corta de sitios web objetivos para usar en un ciberataque de watering hole.
2. Análisis
Los ciberdelincuentes analizan la lista de sitios web en busca de debilidades de dominio y subdominio que puedan explotar. Alternativamente, los atacantes pueden crear un clon malicioso de un sitio web. A veces hacen ambas cosas: comprometer un sitio web legítimo para que dirija a los objetivos a uno falso.
3. Preparación
Los hackers inyectan el sitio web con exploits portadores de web para infectar a sus objetivos. Dicho código puede explotar tecnologías web como ActiveX, HTML, JavaScript, imágenes y más para comprometer los navegadores. Para ataques más específicos, los actores de la amenaza también pueden usar kits de exploits que les permitan infectar visitantes con direcciones IP específicas. Estos kits de exploits son particularmente útiles al enfocarse en una organización.
4. Ejecución
Con el watering hole listo, los atacantes esperan que el malware haga su trabajo. Si todo va bien, los navegadores de los objetivos descargan y ejecutan el software malicioso del sitio web. Los navegadores web pueden ser vulnerables a exploits portadores de web porque usualmente descargan indiscriminadamente código de sitios web en computadores y dispositivos locales.
¿Qué técnicas utilizan los hackers en los ataques de watering hole?
- Cross-site scripting (XSS): Con este ataque de inyección, un hacker puede insertar scripts maliciosos en el contenido de un sitio para redirigir a los usuarios a sitios web maliciosos.
- Inyección SQL: Los hackers pueden usar ataques de inyección SQL para robar datos.
- Envenenamiento de caché DNS: También conocido como suplantación DNS, los hackers utilizan esta técnica de manipulación para enviar objetivos a páginas maliciosas.
- Descargas drive-by: Los objetivos en un watering hole pueden descargar contenido malicioso sin su conocimiento, consentimiento o acción en un drive-by download.
- Malvertising: Conocido como malvertising, los hackers inyectan código malicioso en anuncios de un watering hole para propagar malware a sus presas.
- Explotación de día cero: Los actores de la amenaza pueden explotar vulnerabilidades de día cero en un sitio web o navegador que los atacantes de watering hole pueden utilizar.
Ejemplos de ataques de watering hole
2012: Hackers infectaron el sitio web del Consejo de Relaciones Exteriores de América a través de un exploit de Internet Explorer. Curiosamente, el watering hole solo afectó a los navegadores de Internet Explorer que utilizaban ciertos idiomas.
2013: Un ataque de malware patrocinado por el estado afectó a los Sistemas de Control Industrial (ICS) en Estados Unidos y Europa, atacando los sectores de defensa, energía, aviación, farmacéutico y petroquímico.
2013: Los hackers recolectaron información de usuarios usando el sitio web del Departamento de Trabajo de Estados Unidos como un watering hole.
2016: Investigadores descubrieron un kit de exploit personalizado dirigido a organizaciones en más de 31 países, incluyendo Polonia, Estados Unidos y México. La fuente del ataque pudo haber sido el servidor web de la Autoridad de Supervisión Financiera de Polonia.
2016: La Organización de Aviación Civil Internacional (OACI), con sede en Montreal, es una puerta de entrada a casi todas las aerolíneas, aeropuertos y agencias de aviación nacionales. Al corromper dos de los servidores de OACI, un hacker difundió malware a otros sitios web, dejando los datos sensibles de 2000 usuarios y miembros del personal vulnerables.
2017: El malware NotPetya infiltró redes en toda Ucrania, infectando a los visitantes de sitios web y eliminando los datos de sus discos duros.
2018: Investigadores encontraron una campaña de watering hole llamada OceanLotus. Este ataque afectó sitios web del gobierno camboyano y medios vietnamitas.
2019: Los ciberdelincuentes usaron un pop-up malicioso de Adobe Flash para desencadenar un ataque de drive-by download en casi una docena de sitios web. Llamado Holy Water, este ataque afectó sitios web religiosos, de caridad y voluntarios.
2020: La empresa estadounidense de tecnología de la información SolarWinds fue el objetivo de un ataque de watering hole que tardó meses en descubrirse. Agentes patrocinados por el estado usaron el ataque de watering hole para espiar a empresas de ciberseguridad, el Departamento del Tesoro, Seguridad Interior, etc.
2021: El Grupo de Análisis de Amenazas de Google (TAG) encontró ataques de watering hole generalizados que apuntaban a visitantes de sitios web de medios y pro-democracia en Hong Kong. La infección de malware instalaría un backdoor en personas que usaban dispositivos Apple.
Ahora: Los ataques de watering hole son una amenaza persistente avanzada (APT) contra todo tipo de empresas en todo el mundo. Desafortunadamente, los hackers están apuntando a negocios de venta al por menor, empresas inmobiliarias y otros establecimientos con phishing de watering hole impulsado por estrategias de ingeniería social.
Ataques de watering hole vs ataques a la cadena de suministro
Aunque los ataques de watering hole y los ataques a la cadena de suministro pueden ser similares, no siempre son lo mismo. Un ataque a la cadena de suministro entrega malware a través del elemento más débil en la red de una organización, como un proveedor, vendedor o socio. Por ejemplo, cinco empresas externas pudieron haber funcionado sin saberlo como paciente cero en el ataque Stuxnet a las computadoras air-gapped de Irán. Un ataque a la cadena de suministro también puede usar un sitio web comprometido como un watering hole, pero esto no es necesario.
Cómo protegerse contra los ataques de watering hole
Para los consumidores, buenas prácticas de ciberseguridad como ser cuidadoso con dónde navegas y haces clic en la web, usar un buen programa antivirus y usar protección de navegador como Malwarebytes Browser Guard son en conjunto una buena manera de evitar ataques de watering hole. Browser Guard te permite navegar más seguro bloqueando páginas web que contienen malware.
Para las empresas, las mejores prácticas para protegerse contra ataques de watering hole incluyen:
- Emplear software avanzado de análisis de malware que use aprendizaje automático para reconocer comportamientos maliciosos en sitios web y correos electrónicos.
- Prueba regularmente tu solución de seguridad y monitorea tu tráfico de Internet en busca de actividad sospechosa.
- Capacita a los usuarios finales sobre estrategias de mitigación de ataques de watering hole.
- Usa los últimos parches de seguridad para el sistema operativo y el navegador para reducir el riesgo de exploits.
- Prueba navegadores en la nube en lugar de navegadores locales para una mejor seguridad.
- Audita los permisos que se otorgan a los sitios web.
- Usa herramientas de Detección y Respuesta de Endpoint para Windows y Mac con el fin de proteger los endpoints en tu organización de amenazas emergentes de malware.
- Utiliza recursos de ciberseguridad relevantes para aprender más sobre los vectores de amenaza que los hackers usan para ataques de watering hole.
Noticias sobre ataques de watering hole
- El nuevo malware Mac plantea más dudas sobre los parches de seguridad de Apple
- ¡Actualiza ahora! Apple parchea otro error de escalación de privilegios en iOS y iPadOS
- ¡Actualiza ya! Chrome publica parches para un zero-day que fue explotado en la naturaleza.
- 6 formas en que los piratas informáticos atacan a las empresas minoristas