Reconocimiento y desarrollo de recursos | Observar lo que hacen los atacantes antes de que aparezcan en el umbral de la puerta digital de una organización está fuera del alcance de la telemetría disponible para la mayoría de las organizaciones. Sin embargo, existen varias herramientas que las empresas pueden usar para mantenerse informadas sobre las tácticas, técnicas y tendencias que pueden resaltar los métodos que usa un criminal para penetrar el perímetro de la organización.

El panorama de amenazas también cambia constantemente en términos de reconocimiento y desarrollo de recursos, por lo que es imperativo que las organizaciones se mantengan a la vanguardia de las posibles amenazas a la seguridad. Esto requiere un conocimiento profundo de las últimas tendencias y técnicas de los ciberatacantes y puede ayudar a las organizaciones a proteger mejor sus activos y datos.

Actividades Cibercriminales

FortiGuard Labs analiza lo que podemos observar en estas fases, que generalmente aparecen en los foros de Dark y Deep Web, grupos de Telegram y otras vías de difusión de información donde los actores de amenazas exponen las vulnerabilidades, las defensas y las cargas maliciosas. Se supervisó activamente los grupos de Telegram que anuncian constantemente vulneraciones de seguridad de PoC (Prueba de concepto) y nuevas cargas maliciosas.

Telegram aumentó la popularidad como plataforma para la comunicación anónima, convirtiéndose en un centro para las actividades cibercriminales. En los últimos años, este servicio de mensajería se convirtió en la opción preferida de los actores de amenazas que participan en actividades fraudulentas y en la venta de datos robados. Los siguientes son factores clave que hacen de Telegram una alternativa favorita para la Darknet:

Características especiales

Al proporcionar estas funciones, Telegram se volvió popular entre aquellos que buscan una comunicación segura y anónima. Las actividades preliminares que se observan en los canales de Telegram incluyen:

Estos datos se pueden usar para vigilar estos canales y determinar si están publicando vulnerabilidades de seguridad de PoC que podrían aumentar el riesgo de que se aproveche una vulnerabilidad en particular. La confiabilidad de la información se mide, por ejemplo, si una vulnerabilidad de PoC funciona o no o si solo necesita un “ajuste” para que funcione, como fue el caso a finales de la década de 1990 cuando las vulnerabilidades de seguridad de PoC se compartieron en los canales de IRC y los hackers tenían que entender un poco lo que estaba pasando para replicar el ataque. Al observar la actividad de los grupos de ransomware en la Deep Web, podemos determinar cuántas víctimas acumula cada ransomware. La gráfica abajo representa los grupos de ransomware activos en este trimestre, junto con el recuento respectivo de sus víctimas

Ransomware, Fortinet y BG2 Services

Vulnerabilidades

Por razones obvias, las vulnerabilidades más recientes llaman más la atención, en parte porque tienden a encontrarse en más sistemas debido a que los objetivos tienen menos tiempo para la implementación de parches. Cuando las nuevas vulnerabilidades tienen vulneraciones de seguridad de PoC, parte de la charla también gira en torno al desarrollo, la prueba y el ajuste preciso de estas vulneraciones de seguridad para que funcionen en las diferentes versiones de los sistemas operativos en los que se encontró la vulnerabilidad.

Ser proactivo para detener a los adversarios lo antes posible tiene muchos beneficios. El impacto de un posible ataque o violación de seguridad es significativamente menor o eliminable en algunos casos mediante las mejores prácticas abajo:

Fuente – FortiGuard Labs. (2023). Informe global del panorama de amenazas. Informe Global del Panorama de Amenazas 2022 (fortinet.com)