¿Qué es un ciberataque de comando y control?

Los ataques de comando y control permiten a los piratas informáticos apoderarse de redes enteras o convertir PC individuales en un ejército de bots que pueden usar para sus ofertas. Es posible que haya oído hablar de ellos recientemente cuando EE. UU. interrumpió la red de bots "Cyclops Blink" pirateando algunos de los dispositivos infectados y eliminando el malware a bordo, pero esto es lo que debe saber sobre estos ataques.


Índice
  1. ¿Qué es un ataque de comando y control?
  2. ¿Cómo funciona C2?
  3. Cómo se estructuran los ataques de comando y control
    1. Recomendado por Nuestros Editores
  4. Cómo defenderse contra un ataque C2

¿Qué es un ataque de comando y control?

Los ataques cibernéticos de comando y control (C2 o C&C para abreviar) ocurren cuando los malhechores se infiltran en un sistema e instalan malware que les permite enviar comandos de forma remota desde un servidor C2 a los dispositivos infectados. El primer dispositivo infectado a menudo infecta automáticamente cualquier otro dispositivo con el que se comunica, por lo que en el caso de una red profesional, un sistema completo podría quedar rápidamente bajo el control de un atacante.

Hay innumerables formas en que los atacantes pueden infectar un dispositivo, y tantas tipos de ataques pueden llevar a cabo una vez que están dentro del sistema. De acuerdo a empresa de ciberseguridad Palo Alto Networksmás del 80 % del malware utiliza el sistema de nombres de dominio (DNS) para identificar servidores C2 para robar datos y propagar malware.


¿Cómo funciona C2?

ilustración de sobres colgados en el aire asegurados con anzuelos para sugerir un ataque de phishing basado en correo electrónico

(Ilustración: GOCMEN/Getty Images)

Primero, el atacante tiene que introducir malware en el sistema de destino. Eso puede ser a través de métodos de ingeniería social como correos electrónicos de phishing, anuncios falsos que conducen a sitios web maliciosos o complementos y aplicaciones de navegador sospechosos. Estos a menudo usarán eventos actuales o cultura pop para captar la atención de las personas, desde COVID-19 hasta videojuegos. En algunos casos, los atacantes violan físicamente un sistema con algo como una memoria USB que contiene malware.

Cuando alguien, sin saberlo, descarga malware haciendo clic en un enlace o instalando una actualización de software aparentemente legítima, envía un comando predeterminado a su servidor host, a menudo a través de rutas de transmisión que son confiables y no se supervisan de cerca. El DNS es una de esas rutas.

Una vez que se envía el comando, el dispositivo infectado se convierte en un "bot", un zombi digital bajo el control de un atacante. Luego propaga malware a otros dispositivos, convirtiendo a ellos en bots, expandiendo el área de control del atacante y creando una red de bots, o "botnet".

Muchos ataques C2 están diseñados para pasar desapercibidos el mayor tiempo posible, especialmente al robar datos. Según Palo Alto Networks, otros Los usos comunes de C2 incluyen:

  • Secuestro de computadoras host para minar criptomonedas

  • Destruyendo datos

  • Apagar máquinas, incluidas redes completas

  • Reinicio remoto de dispositivos infectados para interrumpir las operaciones del sistema

  • Golpear redes infectadas con ataques de denegación de servicio distribuido (DDoS)

C2 también se puede utilizar para cifrar datos y mantener sistemas como rehenes en ataques de ransomware.

Es fácil imaginar cuán catastrófico podría ser si un atacante obtuviera el control de un sistema crítico, como la red informática de un hospital o una instalación de tratamiento de agua, y lo apagara. A medida que más y más dispositivos y sistemas, como los servicios públicos, se conectan al Internet de las cosas (IoT), la defensa contra los ataques C2 es crucial.


Cómo se estructuran los ataques de comando y control

toma del piso de una sala de servidores oscura con el borde del piso y los servidores delineados en azul

(Imagen: Jasmin Merdan/Getty Images)

En los primeros días de Internet, los atacantes tenían un servidor físico bajo su control y dirigían el ataque desde allí. Hoy en día, muchos ataques C2 se dirigen desde servidores en la nube.

A veces, un atacante utilizará un servidor al que el malware enviará un mensaje para recibir instrucciones. Esto se puede mitigar fácilmente, ya que la dirección IP del servidor C2 se puede detectar y bloquear para evitar más comunicaciones. Sin embargo, si un atacante usa proxies para enmascarar su verdadera dirección IP, la defensa se vuelve más difícil.

Más comúnmente, los estafadores usarán múltiples servidores para realizar un ataque. Pueden ser varios servidores que ejecutan el mismo ataque por redundancia en caso de que uno sea eliminado, o grupos de servidores organizados en una jerarquía.

Los atacantes también pueden indicar a las computadoras infectadas en una red de bots que actúen como una red de igual a igual (P2P), comunicándose entre sí al azar en lugar de hacerlo desde un servidor central. Esto hace que sea más difícil detectar el origen de la infección. Según el fabricante de software de ciberseguridad DNSFilter, este enfoque es a menudo se usan juntos con un ataque a un solo servidor: si el servidor se cae, la opción P2P está ahí como una copia de seguridad.

Recomendado por Nuestros Editores

¿Necesita un cortafuegos personal?

¿Qué es un ataque de clic cero?

¿Qué son los exploits y ataques de día cero?


Cómo defenderse contra un ataque C2

varias filas de cerraduras ilustradas

(Ilustración: Flavio Coelho/Getty Images)

Si bien la idea de que otra persona tome el control de su sistema es angustiosa, hay algunas cosas que puede hacer para defenderse.

Primero está la educación. Capacite a cualquier persona con acceso a su red sobre las tácticas de ingeniería social que suelen utilizar los ciberatacantes. Una vez que las personas conocen las señales, es mucho menos probable que se dejen engañar. Muéstreles cómo se ve un correo electrónico de phishing, cómo evaluar la seguridad de una descarga, etc.

En segundo lugar, utilice un cortafuegos. Si bien no protegerá de los malos actores que ya están dentro de su sistema, ayudará a mantener alejadas a las personas que no pueden engañar para entrar. Los firewalls limitan qué datos pueden entrar y salir de la red, y pueden configurarse para alertarlo URL y direcciones IP sospechosas.

El blog de ciberseguridad Tripwire también recomienda la segmentación de la red como medida de protección. Dividir su red en subredes más pequeñas que solo pueden comunicarse entre sí dentro de su propio grupo evitará que cualquier malware que supere sus otras defensas se propague por todas partes. Utilizan el ejemplo de los sistemas de punto de venta (POS) en las tiendas minoristas. Solo pueden hablar con un número muy limitado de otras máquinas en la red, por lo que incluso si el malware de raspado de tarjetas de crédito ingresa, no puede transmitir los datos robados muy lejos.

Estos son válidos no solo para los ataques C2, sino para casi cualquier amenaza cibernética. La educación y una buena defensa no son infalibles, pero contribuyen en gran medida a prevenir ataques y filtraciones de datos.

Entradas Relacionadas

Subir

Utilizamos cookies propias y de terceros para personalizar contenidos y analizar el tráfico web. Política de privacidad