¿Qué son los ataques de mando y control?
C&C (también conocido como C2) es un método que utilizan los ciberdelincuentes para comunicarse con dispositivos comprometidos dentro de la red de una empresa objetivo.
En un ataque C&C, un ciberdelincuente utiliza un servidor para enviar comandos a ordenadores comprometidos con malware y recibir datos de ellos. Este servidor también se conoce como servidor C2 o C&C. El ciberdelincuente puede usar el servidor para realizar diversas acciones maliciosas en la red objetivo, como descubrir datos, propagar malware o lanzar ataques de denegación de servicio. El servidor también puede alojar una red de bots (una red de dispositivos infectados). La comunicación C&C es un paso crítico en el proceso de lanzar un ataque a una red o de ofrecer servicios maliciosos a otros atacantes.
Algunos ciberdelincuentes utilizan servicios existentes basados en la nube para ocultar servidores C&C y evitar ser detectados. Pueden existir uno o más canales de comunicación entre el ordenador de una víctima o una organización y la plataforma que controla un hacker. El ciberdelincuente emplea estos canales de comunicación para transferir instrucciones a los dispositivos comprometidos. El DNS es un medio de comunicación ampliamente utilizado para las comunicaciones de ataques C&C.
¿Cómo funcionan los ataques C&C?
Los ciberdelincuentes elaboran cuidadosamente cualquier ataque C&C, que puede segmentarse en las siguientes etapas:
1. Punto de entrada
El adversario lanza un ataque para penetrar la red objetivo mediante malware. Algunos de los métodos de distribución de malware más comunes incluyen correos electrónicos de phishing, descargas automáticas, acceso no autorizado a través de credenciales robadas y aprovechamiento de vulnerabilidades. Si el ataque tiene éxito, el adversario pasa a la siguiente etapa.
2. Establecimiento de la conexión C&C
Tras usar una puerta trasera para infiltrarse en la red objetivo, el ciberdelincuente utiliza los canales C&C para instruir y controlar las máquinas comprometidas y el malware en la red.
3. Movimiento lateral y persistencia
Una vez dentro de la red, el ciberdelincuente compromete máquinas adicionales para recopilar credenciales, escalar niveles de privilegios y mantener un control persistente sobre la red comprometida.
4. Descubrimiento de datos
El criminal emplea varias técnicas para identificar servidores y sistemas valiosos que contienen datos de gran valor.
5. Exfiltración de datos
Una vez recopilados los datos, el ciberdelincuente los envía a un servidor de almacenamiento interno donde se fragmentan, se comprimen y a menudo se cifran, para luego transferirlos a ubicaciones externas.
Más información
Lee este artículo para saber más sobre la exfiltración de datos y cómo prevenirla.
Tipos de ataques C&C
Una vez que el criminal establece una conexión C&C, puede ejecutar múltiples ataques secuencialmente. A continuación se muestran algunos ejemplos:
| Tipo | Descripción |
|---|---|
| Redes de bots | El término "red de bots" se conoce en inglés como "botnet" (una combinación de "robot" y "network"). Una red de bots es una red de equipos infectados con malware controlados por un gestor de bots (humano) que maneja la infraestructura de la red de bots y usa los equipos comprometidos para lanzar otros ataques. Por lo general, las redes de bots están unidas por una infraestructura C&C compartida. |
| Ransomware | El ransomware es un tipo de ataque de malware que cifra los datos de la víctima y evita que pueda accederse a ellos hasta que se paga un rescate. Los ciberdelincuentes que emplean ransomware a menudo recurren a técnicas de ingeniería social, como el phishing, para acceder al entorno de la víctima. |
| Amenaza persistente avanzada (APT) | Las amenazas persistentes avanzadas son ciberataques sofisticados y duraderos en los que un intruso establece una presencia no detectada en una red para robar datos confidenciales durante un periodo de tiempo prolongado. Este tipo de ataque se planifica y diseña cuidadosamente para infiltrarse en una organización específica, evadir las medidas de seguridad existentes y pasar desapercibido. |
| Ataque de denegación de servicio distribuido (DDoS) | Un ataque de denegación de servicio distribuido (DDoS) es un ciberataque que intenta interrumpir el funcionamiento de un servidor o una red inundándolos con tráfico de Internet falso, impidiendo el acceso de los usuarios e interrumpiendo las operaciones. |
Ataques C&C en el ciberespionaje
El ciberespionaje se emplea principalmente como un medio para recopilar datos confidenciales o clasificados, secretos comerciales u otras formas de propiedad intelectual (PI) que los criminales pueden usar para obtener una ventaja geopolítica o competitiva, o vender para lucrarse ilícitamente. En algunos casos, la brecha iniciada mediante C&C simplemente pretende causar daño a la reputación de la víctima al exponer información clasificada o prácticas comerciales cuestionables.
Los ataques de ciberespionaje también pueden implementarse en conjunto con operaciones militares o como un acto de terrorismo cibernético o guerra cibernética. El impacto del ciberespionaje, sobre todo cuando forma parte de una campaña militar o política más amplia, puede provocar la interrupción de los servicios y la infraestructura públicos y la pérdida de vidas.
Independientemente del método empleado para obtener un punto de entrada a la organización de una víctima, en la mayoría de los casos, los ataques de ciberespionaje se basan en el establecimiento de una conexión C&C para robar datos confidenciales o secretos.
Detección y prevención
Al ejecutar ataques C&C, los ciberdelincuentes muestran su gran capacidad para innovar. Estos ataques utilizan técnicas de actividad baja y lenta que pueden eludir las herramientas de seguridad tradicionales porque cada acción individual que compone la amenaza mayor es demasiado pequeña como para detectarse. Todo está pensado para operar a largo plazo y se mezcla con el tráfico real, minimizando las interrupciones en cualquier transferencia de datos o nivel de conexión.
Como los ataques C&C pueden pasar desapercibidos fácilmente, es posible que se precisen grandes recursos para supervisar el sistema de una organización en busca de actividad no autorizada. Las organizaciones necesitan un sistema sólido de detección y prevención que brinde la capacidad de responder de manera fiable a estas cuestiones clave:
- ¿Hay actividad C&C en mi red?
- ¿Es una red de bots común o un posible ataque selectivo?
- ¿Qué riesgos entraña?
- ¿Quién lo controla y cuál es su ubicación?
- ¿Mis herramientas de seguridad bloquearán y corregirán inmediatamente el ataque C&C o debo abordar el riesgo manualmente?
Señales de un ataque C&C
Dado el papel fundamental que juegan las comunicaciones C&C en las etapas finales de un ataque, la detección proactiva del tráfico C&C malicioso es esencial para exponer esta actividad ilícita. De hecho, la mayoría de los ataques selectivos de importancia podrían haberse descubierto si los defensores de seguridad hubieran estado atentos a las comunicaciones de red maliciosas.
Las organizaciones pueden detectar comunicaciones de red maliciosas inspeccionando los paquetes de red y examinándolos para detectar cualquier tipo de patrón de configuración C&C, como los siguientes:
- Rutas URL de C&C conocidas
- Dominios potencialmente maliciosos o nombres de dominio comunes similares
- Encabezados de paquetes sospechosos
- Comunicaciones de red sospechosas
- Puertos y protocolos inusuales
Estas señales consistentes de un ataque C&C brindan a las organizaciones la oportunidad de verificar si existen campañas de ciberataques en curso en su red. Si bien los cambios en las comunicaciones de red de una campaña son una posibilidad, los patrones de tráfico de la red C&C de una campaña son más difíciles de modificar que los servidores, los dominios o el malware que emplea un atacante.
Protección contra ataques C&C
Las organizaciones deben tomar medidas proactivas para garantizar que pueden detectar actividades C&C mediante el uso de herramientas de seguridad que brinden las siguientes capacidades:
Escaneo y filtración de todo el tráfico
Como los canales C&C se suelen mezclar con datos válidos del sistema de nombres de dominio (DNS), inspeccionar el tráfico entrante y saliente es esencial para detectar actividades sospechosas, como el cifrado ilícito del tráfico de la red (una estrategia que se emplea a menudo en operaciones de tunelización DNS) y el tráfico a servidores desconocidos.
Supervisión de comportamientos sospechosos
Las anomalías en el tráfico podrían indicar una estación de trabajo infectada o actividad de malware. También hay que asegurarse de que las funciones de supervisión de actividades sospechosas de la herramienta puedan detectar intentos de transferir archivos de datos grandes desde los sistemas.
Escaneo de sistemas con software de protección de endpoints
El uso de una protección de endpoints de eficacia demostrada (idealmente, detección y respuesta para endpoints [EDR]) permite descubrir y erradicar actividades de malware de los equipos host. Al hacerlo, se elimina el virus que se utilizaría para comunicarse con los servidores C&C, lo que impide que establezca una ruta de comunicación encubierta.
Más información
Explora este artículo para conocer qué consideraciones debes tener en cuenta al elegir la solución EDR adecuada para tu empresa.
Detección y respuesta para endpoints (EDR): Cómo elegir la solución adecuada
Consecuencias de los ataques C&C
Independientemente del enfoque que utilice un adversario para establecer un punto de entrada a una organización, un canal abierto para la comunicación C&C invariablemente resultará en una brecha de datos si no se detecta el ataque. Como resultado, los ataques C&C pueden tener graves impactos negativos para sus víctimas.
Un ataque C&C exitoso que ocasione una brecha de datos agotará los recursos de una empresa y aumentará el coste de la actividad comercial. Un ataque de este tipo puede incluso originar un efecto dominó que puede llevar a la quiebra a las empresas y dejarlas fuera de juego.
Según el informe Cost of a Data Breach 2022 Report (Coste de una brecha de datos 2022) del Ponemon Institute, se prevé que el coste promedio de una brecha de datos alcanzará los 5 millones de dólares en 2023. Los costes de una brecha de datos pueden incluir el pago de un rescate, la pérdida de ingresos por operaciones comerciales interrumpidas, los gastos de respuesta a incidentes, honorarios legales y multas regulatorias.
Solución de CrowdStrike
La tecnología de protección de endpoints es la primera línea de defensa contra las amenazas como el malware y los ataques C&C. La solución de protección de endpoints de CrowdStrike se activa en cuestión de minutos y ofrece cobertura ininterrumpida, lo que facilita que las pequeñas y medianas empresas (pymes) obtengan protección de vanguardia sin complicaciones.
La plataforma CrowdStrike Falcon® detiene las brechas gracias a una plataforma de ciberseguridad unificada que descubre la actividad hands-on-keyboard de los adversarios en todo el marco MITRE ATT&CK®, desde la etapa inicial de acceso y comando y control hasta la exfiltración.
Más información
Protección asequible y fácil de gestionar contra ataques avanzados que los antivirus tradicionales no detectan.
Bart es Senior Product Marketing Manager de inteligencia sobre amenazas en CrowdStrike y cuenta con más de 20 años de experiencia en inteligencia, detección y supervisión de amenazas. Tras iniciar su carrera como analista de operaciones de seguridad de red en una organización financiera belga, se trasladó a la costa este de los Estados Unidos para incorporarse a varias empresas de ciberseguridad, como 3Com/Tippingpoint, RSA Security, Symantec, McAfee, Venafi y FireEye-Mandiant, donde se encargó de la gestión y del marketing de productos.
