Etiqueta: amenazas

Publicado el

La Ciberdelincuencia y el escenario de las amenazas

En un mundo post-pandemia plagado de ataques cibernéticos, espionaje digital, desinformación y un panorama político hiperpartidista, el acceso a inteligencia precisa y examinada es vital para entender la variedad de amenazas y actores de amenazas.

El escenario de las amenazas es tan diverso como sofisticado. Mantenerse al tanto de estas amenazas, comprender las motivaciones de los actores y conocer sus tácticas, técnicas y procedimientos es primordial.

Es necesario comprender como actúan los ciberdelincuentes identificando:

  • El escenario de las amenazas.
  • Por qué su organización podría estar en riesgo.
  • Cómo determinar el área de ataque.
  • Cómo los atacantes pueden vulnerar a su organización.

Identificar el escenario de las amenazas es un paso esencial para anticipar el efecto de influencias externas como geopolítica, pandemias y nuevas amenazas de seguridad para que su organización pueda implementar una estrategia de seguridad enfocada en los activos más valiosos.

Actores de amenazas, hackers y atacantes.

Como profesionales de la seguridad, estamos acostumbrados al uso intercambiable de los términos hackers, atacantes y actores de amenazas, generalmente en diferentes contextos que nos permiten comprender qué significado se pretende. Aunque las diferencias entre cada término son menores, es importante entender las diferencias.

Un actor de amenaza es una persona, grupo u organización con intenciones maliciosas. Un actor de amenaza no necesariamente tiene habilidades de tecnología de la información o relación con el panorama cibernético. Más bien, un actor de amenazas puede ser una persona o grupo especializado en guerra cibernética, psicológica y campañas de desinformación. Si bien pueden ser expertos en redes sociales y anunciantes ingeniosos, sus habilidades son completamente diferente a la de los hackers.

Un hacker es una persona con habilidades técnicas expertas. El término «hacker» generalmente indica una persona altamente motivada y curiosa a la que le gusta entender, inventar, crear y manipular sistemas. Es común utilizar el termino “hacker» para sindicar a un «atacante», sin embargo, un hacker no necesariamente tiene intenciones maliciosas.

Un atacante es una persona, grupo u organización que actúa con intenciones maliciosas.

Clasificación de actores de amenazas.

Los actores de amenazas se pueden clasificar en cinco clases en función de sus motivaciones y objetivos. La terminología puede diferir en toda la comunidad de seguridad, pero las ideas de los actores representados son consistentes.

Un actor de amenazas normalmente encajará en una de estas clases:

  • Los actores de amenazas patrocinados por el estado-nación o el estado trabajan para un gobierno y llevan a cabo campañas para obtener acceso a inteligencia valiosa o diseñadas para influir, interrumpir y comprometer la estabilidad política o económica de otras naciones.
  • El crimen organizado lleva a cabo actividades maliciosas principalmente para obtener ganancias económicas. Los grupos están estructurados y son una fuerza impulsora detrás de la economía sumergida.
  • Los hacktivistas quieren hacer una declaración y están emocionalmente comprometidos e implacables en su actividad maliciosa con acciones antigubernamentales, anti corporativas o de justicia social.
  • Los hackers son la categoría más amplia de actores de amenazas que operan por emoción o por competencia con sus pares para demostrar sus capacidades. Sus intenciones pueden ser benignas, pero también pueden cruzar la línea moral para beneficio personal ingresando al mundo del crimen organizado o a la investigación de seguridad.
  • La amenaza interna y los clientes descontentos son actores de amenazas que operan por malicia o negligencia.

La clasificación de actores de amenazas no es una ciencia exacta debido a que pueden tener objetivos superpuestos y dependiendo de sus actividades o motivaciones pueden operar en diferentes clases. También se da el caso que, algunos actores de amenazas para evitar la atribución de sus actividades se hacen pasar por actores de otras clases, lo que complica la atribución de los ataques, convirtiéndola en una actividad desafiante y sensible, que puede conducir a inestabilidades geopolíticas o afectar la vida de personas inocentes.

En el contexto del estado-nación y los grupos patrocinados por los estados utilizan comúnmente la amenaza persistente avanzada (APT) que define a un actor con capacidades avanzadas y su característica principal es que permanecen activos sin ser detectados por periodos prolongados. El término también puede referirse a grupos no patrocinados por los estados que realizan intrusiones específicas a gran escala para objetivos específicos que no están orientados políticamente.

FNS

Publicado el

La inteligencia sobre las Amenazas en la Ciberseguridad

Debido a la constante evolución de los malware, una herramienta esencial a tomar en cuenta por las organizaciones es el uso de la inteligencia sobre las amenazas. Cuando una organización tiene activos nacionales, financieros, personales o intelectuales, mantener un enfoque completo de seguridad es la única manera de protegerse de la ciberdelincuencia, para ello debe utilizar una solución activa y eficaz como la inteligencia sobre las amenazas.

Esta herramienta combina información de múltiples fuentes, lo que proporciona una pantalla de protección más eficaz para su red.

Las organizaciones comprenden la necesidad de adoptar una herramienta como la inteligencia sobre amenazas, en su arquitectura de seguridad, que sea incisiva, en tiempo real, que brinde información actualizada sobre las técnicas de hackeo y los vectores de ataque con la finalidad de prevenir ataques.

La inteligencia sobre las amenazas debe abarcar todas las superficies de ataques, incluidos los dispositivos móviles, la nube, la red, los puntos de conexión y el IoT (internet de las cosas), vectores de ataque muy comunes en las organizaciones, esto nos ayudara a frenar las amenazas, controlar la red, tener una respuesta rápida ante incidentes y ataques

 Familias de Malware

  • Agent Tesla es un RAT avanzado que funciona como un registrador de pulsaciones de teclas e interceptación de contraseñas, capaz de monitorear y recopilar el ingreso de datos a través del teclado de la victima y del portapapeles del sistema, capturas de pantalla y extraer credenciales.
  • AZORult troyano que recopila y extrae datos del sistema infectado, puede enviar contraseñas guardadas, archivos locales, criptobilleteras e información del perfil de la PC a un servidor C&C remoto.
  • Cerberus es un RAT con funciones especificas de pantallas bancarias superpuestas para dispositivos Android, opera en un modelo de MaaS (Malware como un servicio), toma el control de mensajes de texto, registro de teclas, rastreo de ubicación, entre otros
  • Clop es un ransomware dirigido a grandes empresas y corporaciones, ejecuta una estrategia de doble extorsión, además de cifrar los datos, los atacantes amenazan con publicar la información robada si no cumplen con las demandas de rescate.
  • Coinhive es un servicio de criptomineria diseñado para realizar minería no autorizada en la línea de la criptomoneda Monero, cuando el usuario visita una pagina web en particular, utiliza gran cantidad de recursos informáticos de la maquina infectada, afectando su rendimiento.
  • Danabot es un troyano bancario modular escrito en Delphi dirigido a plataformas Windows, se distribuye mediante correos electrónicos maliciosos de spam, descargando código de configuración actualizados y otros módulos de servidor C&C que incluyen un sniffer para interceptar credenciales, un stealer para robar contraseñas de aplicaciones populares, un modulo VNC para control remoto entre otros.
  • DarkGate es un malware multifunción que combina capacidades de ransomware, robo de credenciales, RAT y criptomineria, principalmente al sistema Windows, emplea una variedad de técnicas de evasión.
  • DoppelPaymer variante del ransomware BitPaymer que apunta principalmente a medianas y grandes empresas, además de cifrar los datos, amenazan con publicarlos si no atienden sus demandas de rescate.
  • Dridex es un troyano bancario que tiene como objetivo la plataforma Windows, se introduce mediante campañas de spam y kits de explotación, se basa en seminarios web para interceptar y redirigir credenciales bancarias a un servidor controlado por los atacantes. También puede descargar y ejecutar módulos para el control remoto.
  • Emotet es un troyano modular de auto propagación, se utiliza como distribuidor de otros malware utilizando múltiples métodos para mantener la persistencia y técnicas de evasión, se puede propagar por correo electrónico de suplantación de identidad (phishing)
  • Formbook es un interceptor de información dirigido al sistema operativo Windows. Se distribuye a modo de MaaS en foros de hackeo ilegales, recopila credenciales de varios navegadores web y capturas de pantalla, controla y registra pulsaciones de teclas y puede descargar y ejecutar archivos.
  • Glupteba es una puerta trasera que gradualmente se convirtió en botnet.
  • Guerrilla es un troyano para Android incrustado en múltiples aplicaciones legitimas y con la capacidad de descargar cargas útiles maliciosas adicionales, genera ingresos publicitarios fraudulentos para los desarrolladores de aplicaciones.
  • Hawkeye es un malware de interceptación de información para Windows diseñado para robar credenciales de correo electrónico, registro de pulsaciones de teclas, actualmente tiene la capacidad de tomar capturas de pantalla, propagarse a través de USB, se vende como un MaaS.
  • Hiddad es un malware para Android que reempaqueta aplicaciones legitimas y las libera en tiendas de terceros, su función principal es mostrar anuncios, pero también pude obtener acceso a datos de seguridad clave integrados en el sistema operativo.
  • IcedID es un troyano que se propaga mediante spam y utiliza otros malware como Emotet para ayudar a su propagación, roba datos financieros a través de ataques de redireccionamiento.
  • JSEcoin es un criptominero basado en la web, realiza la minería de la criptomoneda Monero, ceso su actividad en abril 2020.
  • KPOT es un troyano que tiene como objetivo la plataforma Windows, roba información personal de diversas fuentes como navegadores web, cuentas Microsoft, mensajería instantánea, FTP, correos electrónicos, VPN, RPD, criptomonedas, software de juegos, enviando la información recopilada al servidor remoto, toma capturas de pantalla.
  • Lokibot es un interceptor de información de consumo para Windows, recolecta credenciales desde diversas aplicaciones, navegadores web, clientes de correo electrónico, herramientas de administración TI.
  • Lotoor es una herramienta de hackeo que aprovecha las vulnerabilidades de los sistemas operativos Android con el fin de obtener privilegios de usuario raíz de los dispositivos móviles infectados.
  • Lucifer es un criptominero y malware hibrido de DDoS que aprovecha las vulnerabilidades Windows, utiliza ataques de fuerza bruta para obtener credenciales de inicio de sesión e invadir servidores y equipos Windows, actualmente evoluciono a un malware multiplataforma y de múltiples arquitecturas con Linux y dispositivos IoT como objetivo.
  • Maze es un ransomware de doble extorsión, además de cifrar los datos de las victimas, publican los datos si sus demandas de rescate no son atendidas.
  • Mirai es un malware de IoT (internet de las cosas) que rastrea dispositivos IoT vulnerables como cámaras web, módems, enrutadores y los convierte en bots, utilizado por sus operadores para llevar a cabo ataques masivos de DDoS.
  • MyloBot es un botnet equipado con técnicas complejas de evasión como anti-VM, anti-sandbox y anti-depuración, permite tomar el control total del sistema.
  • NanoCore es un troyano de acceso remoto que fija los usuarios del sistema operativo Windows, puede efectuar capturas de pantalla, minería de criptomonedas, control remoto del robo de sesión del escritorio y cámara web.
  • Necro es un instalador de troyanos para Android, puede descargar otros malware, mostrar anuncios y cobrar fraudulentamente por suscripciones de pago.
  • NRSMiner es un criptominero utiliza la vulnerabilidad EternalBlue para propagarse a otras computadoras vulnerables en redes internas.
  • Phorpiex es un botnet también conocido como Trik, puede distribuir otras familias de malware a través de campañas de spam y campañas de extorsión sexual a gran escala.
  • PreAMo es un malware de clics para dispositivos Android, genera ingresos al imitar al usuario y hacer clic en anuncios sin el conocimiento del usuario.
  • Predator the Thief es un interceptor de información sofisticado, puede extraer contraseñas, acceder a la cámara de la victima y robar información de billeteras de criptomonedas.
  • Pykspa es un gusano que se propaga mediante el envío de mensajes instantáneos a os contactos Skype, extrae información personal del usuario y se comunica con servidores remotos mediante un algoritmo de generación de dominio.
  • Qbot también conocido como Qakbot, troyano bancario diseñado para robar las credenciales bancarias y las pulsaciones de teclas de los usuarios, distribuido por correo electrónico de spam, emplea varias técnicas anti-VM, anti-depuración y anti-sandbox para dificultar el análisis y evadir la detección.
  • Ragnar Locker es un ransomware que utiliza técnicas sofisticadas de evasión, como una maquina virtual en sistemas específicos para ocultar su actividad, también utilizan la doble extorsión.
  • Ramnit es un troyano bancario modular que roba la información de la sesión web y brinda a los operadores la capacidad de robar las credenciales de las cuentas de todos los servicios utilizados por la victima, cuentas bancarias, corporativas y de redes sociales, utiliza dominios con códigos fijos y dominios generados por un algoritmo de generación de dominio DGA para comunicarse con el servidor C&C.
  • Remcos es un RAT que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos spam, diseñado para evitar la seguridad de control de cuentas de usuario (User Account Control UAC) de Microsoft Windows y ejecutar malware con privilegios de alto nivel.
  • RigEK el mas antiguo y conocido de los exploits kits, sus servicios están a la venta en foros de hackeo y en la red TOR, ha evolucionado para entregar desde AZORult y Dridex hasta ransomware y criptomineros poco conocidos.
  • RubyMiner Esta dirigido a servidores Windows y Linux, busca servidores web vulnerables como PHP, Microsoft IIS y Ruby on Rails para usar en criptomineria mediante el minero de Monero de código abierto XMRig.
  • Ryuk es un ransomware utilizado por el grupo TrickBot en ataques bien planificados contra varias organizaciones en todo el mundo, es una derivación del ransomware Hermes cuyas capacidades técnicas son relativamente bajas, incluyen un instalador básico y un sistema de cifrado sencillo, sin embargo, logro causar graves daños a las organizaciones objetivo y las forzó a pagar rescates extremadamente altos en bitcoins, este ransomware se utiliza en ataques personalizados.
  • Sodinokibi es un ransomware como servicio que opera un programa de afiliados, cifra los datos en el directorio del usuario y elimina las copias de seguridad con el fin de dificultar la recuperación de los datos. Se propaga a través de las vulnerabilidades de servidores y del spam, por hackeo en los sistemas de back-end de los proveedores de servicios administrados (Managed Service Provider MSP), campañas de publicidad maliciosa con redirección al kit de explotación de RIG.
  • Trickbot es un troyano bancario modular dirigido a la plataforma de Windows, se introduce a través de campañas de spam u otras familias de malware como Emotet, envía información del sistema infectado, pudiendo descargar y ejecutar una variedad de módulos arbitrarios incluyendo un modulo VNC para control remoto y un modulo SMB para propagarse dentro de una red comprometida, puede no solo robar credenciales bancarias de la PC objetivo, sino también para el movimiento y reconocimiento laterales en la organización objetivo en si, antes de implementar un ataque de ransomware a toda la organización.
  • Ursnif es una variante del troyano bancario de Gozi para Windows, cuyo código fuente se ha filtrado en línea, tiene capacidades como las del ataque Man-in-the-browser para robar información y las credenciales bancarias para los servicios populares en línea, además puede robar información de clientes de correo electrónico, exploradores, billeteras de criptomonedas, descargar y ejecutar archivos adicionales en el sistema infectado.
  • Valak originalmente era un instalador de malware, fue mejorado con capacidades de interceptación de información, se propaga a través de campañas de malspam y suele responder a los hilos de correo electrónico de una cuenta comprometida. Este malware se envía junto con otro malware como Ursnif.
  • Vidar es un interceptador de información que fija los sistemas Windows, diseñado para robar contraseñas, datos de tarjetas de crédito, información confidencial de diversos navegadores web, billeteras digitales. Se vende en varios foros en línea y se utiliza como un instalador de malware para descargar el ransomware GrandCrab.
  • WannaMine es n sofisticado gusano de criptomineria Monero, se propaga mediante la vulnerabilidad EternalBlue, implementa un mecanismo de propagación y técnicas de persistencia aprovechando las suscripciones de eventos. (Windows Management Instrumentation WMI)
  • xHelper es un malware de Android que muestra principalmente anuncios intrusivos de ventanas emergentes y spam de notificaciones, es muy difícil eliminarlo por sus capacidades de reinstalación.
  • XMRig es un software de minería de CPU de código abierto utilizado para extraer la criptomoneda Monero, los atacantes utilizan este software para integrarlo a un malware.
  • Zeus es un troyano para Windows, se utiliza para robar información bancaria, credenciales de la cuenta que son enviadas a los atacantes mediante una cadena de servidores de comando y control. (C&C)
  • Zloader es un malware bancario que utiliza inyecciones web para robar credenciales e información privada, puede extraer contraseñas y cookies del navegador web de la victima, descarga VNC lo que permite conectarse al sistema y realizar transacciones financieras desde el dispositivo del usuario.
Abrir chat
¿Necesitas ayuda?
Hola,

Si tuvieses alguna duda y/o consulta, será un placer para nosotros poder ayudarte.

Comunícate con nosotros directamente vía Whatsapp, donde resolveremos todas tus dudas y preguntas.

Contacte ahora!!