Descripción de la Tecnica
Acquire Infrastructure es un patrón de ataque del MITRE ATT&CK que describe cómo los adversarios pueden adquirir infraestructura para operaciones de ciberataque. Esta técnica incluye la compra, alquiler, renta o obtención de recursos como servidores, dominios y servicios de terceros, ya sea en entornos físicos o en la nube. Los atacantes suelen aprovechar proveedores que ofrecen períodos de prueba gratuitos para adquirir infraestructura con costos limitados o nulos.
La técnica se menciona en el MITRE: T1583, y está documentada en fuentes como TrendmicroHideoutsLease y Free Trial PurpleUrchin.
Como Funciona
Los adversarios pueden utilizar esta técnica para obtener recursos que faciliten operaciones de ataque. Por ejemplo, pueden alquilar servidores en la nube, registrar dominios maliciosos o acceder a servicios web de terceros para ejecutar actividades maliciosas. La infraestructura adquirida puede usarse como punto de entrada, herramienta de comandos o soporte para ataques más complejos.
Un aspecto clave es el uso de proveedores con períodos de prueba gratuitos, lo que permite a los atacantes obtener recursos sin costos iniciales. Además, botnets pueden ser utilizados como parte de esta técnica para ampliar la infraestructura disponible.
Actores que la Utilizan
Esta técnica está asociada con actores que buscan adquirir o rentar recursos para operaciones de ciberataque. Los referencias mencionadas (TrendmicroHideoutsLease, Free Trial PurpleUrchin) indican que grupos adversarios aprovechan proveedores de infraestructura para sus actividades maliciosas.
Detección
La detección de esta técnica implica monitorear comportamientos anómalos relacionados con la adquisición o uso de infraestructura. Esto incluye: - Registro de dominios sospechosos en plataformas de registro de dominios. - Uso inusual de recursos en servidores o servicios de terceros. - Actividades de alquiler o compra de infraestructura sin justificación lógica. - Monitoreo de patrones de uso que indiquen la creación de entornos maliciosos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a esta técnica, se recomienda: - Revisar y limitar el acceso a recursos críticos (servidores, dominios, servicios de terceros). - Monitorear actividades anómalas en plataformas de registro de dominios o infraestructura. - Implementar controles de autorización para evitar la adquisición no autorizada de recursos. - Utilizar autenticación multifactorial para proteger cuentas que gestionen infraestructura crítica.