Reconocimiento y desarrollo de recursos | Observar lo que hacen los atacantes antes de que aparezcan en el umbral de la puerta digital de una organización está fuera del alcance de la telemetría disponible para la mayoría de las organizaciones. Sin embargo, existen varias herramientas que las empresas pueden usar para mantenerse informadas sobre las tácticas, técnicas y tendencias que pueden resaltar los métodos que usa un criminal para penetrar el perímetro de la organización.
El panorama de amenazas también cambia constantemente en términos de reconocimiento y desarrollo de recursos, por lo que es imperativo que las organizaciones se mantengan a la vanguardia de las posibles amenazas a la seguridad. Esto requiere un conocimiento profundo de las últimas tendencias y técnicas de los ciberatacantes y puede ayudar a las organizaciones a proteger mejor sus activos y datos.
Actividades Cibercriminales
FortiGuard Labs analiza lo que podemos observar en estas fases, que generalmente aparecen en los foros de Dark y Deep Web, grupos de Telegram y otras vías de difusión de información donde los actores de amenazas exponen las vulnerabilidades, las defensas y las cargas maliciosas. Se supervisó activamente los grupos de Telegram que anuncian constantemente vulneraciones de seguridad de PoC (Prueba de concepto) y nuevas cargas maliciosas.
Telegram aumentó la popularidad como plataforma para la comunicación anónima, convirtiéndose en un centro para las actividades cibercriminales. En los últimos años, este servicio de mensajería se convirtió en la opción preferida de los actores de amenazas que participan en actividades fraudulentas y en la venta de datos robados. Los siguientes son factores clave que hacen de Telegram una alternativa favorita para la Darknet:
- La capacidad de enviar y recibir archivos de datos de gran tamaño directamente a través de la aplicación, incluyendo archivos de texto y zip.
- Una configuración fácil de usar que solo requiere un número de teléfono móvil, que supuestamente está oculto para otros usuarios y permite la comunicación entre decenas de miles de usuarios.
- Mayor accesibilidad y funcionalidad con menor riesgo de rastreo de parte de las autoridades en los foros de la dark web.
- La mensajería cifrada y el anonimato dan un nivel alto de privacidad y seguridad para los usuarios.
Características especiales
Al proporcionar estas funciones, Telegram se volvió popular entre aquellos que buscan una comunicación segura y anónima. Las actividades preliminares que se observan en los canales de Telegram incluyen:
- Intercambio y anuncios de datos robados
- Diversos accesos a infraestructura comprometida
- Vulneraciones de día cero y vulnerabilidades de seguridad
- DDoS y actividades de desfiguración del sitio web
- Distribución de herramientas de acceso malintencionado y registros de ladrones
Estos datos se pueden usar para vigilar estos canales y determinar si están publicando vulnerabilidades de seguridad de PoC que podrían aumentar el riesgo de que se aproveche una vulnerabilidad en particular. La confiabilidad de la información se mide, por ejemplo, si una vulnerabilidad de PoC funciona o no o si solo necesita un “ajuste” para que funcione, como fue el caso a finales de la década de 1990 cuando las vulnerabilidades de seguridad de PoC se compartieron en los canales de IRC y los hackers tenían que entender un poco lo que estaba pasando para replicar el ataque. Al observar la actividad de los grupos de ransomware en la Deep Web, podemos determinar cuántas víctimas acumula cada ransomware. La gráfica abajo representa los grupos de ransomware activos en este trimestre, junto con el recuento respectivo de sus víctimas
Vulnerabilidades
Por razones obvias, las vulnerabilidades más recientes llaman más la atención, en parte porque tienden a encontrarse en más sistemas debido a que los objetivos tienen menos tiempo para la implementación de parches. Cuando las nuevas vulnerabilidades tienen vulneraciones de seguridad de PoC, parte de la charla también gira en torno al desarrollo, la prueba y el ajuste preciso de estas vulneraciones de seguridad para que funcionen en las diferentes versiones de los sistemas operativos en los que se encontró la vulnerabilidad.
Ser proactivo para detener a los adversarios lo antes posible tiene muchos beneficios. El impacto de un posible ataque o violación de seguridad es significativamente menor o eliminable en algunos casos mediante las mejores prácticas abajo:
- Recopilación de información mediante una solución de protección de riesgo digital.
- Desarrollo de mejores conocimientos y control sobre tu superficie de ataque externa. Incluyendo inteligencia de alta calidad sobre los adversarios para proteger tu organización y tu marca.
- Herramientas de prueba y métodos de prueba estructurados contra el último uso de hacker de TTP.
- Incorporación de tecnología de engaño para alejar a los criminales de los activos reales. En su lugar, llamar su atención sobre un señuelo o trampa para conocer mejor sus métodos de ataque contra la organización. En consecuencia, esto puede ayudarte a mejorar los controles de seguridad.
Fuente – FortiGuard Labs. (2023). Informe global del panorama de amenazas. Informe Global del Panorama de Amenazas 2022 (fortinet.com)