De Exploits Y Expertos: La Profesionalización Del Cibercrimen

Al igual que usted se mantiene actualizado con las últimas noticias, herramientas y liderazgo intelectual para proteger y proteger a su organización de los ciberdelincuentes, sus adversarios están haciendo lo mismo. Se conectan en foros, evalúan nuevas herramientas de software, hablan con compradores potenciales y buscan nuevas formas de burlar su pila de seguridad.

Un vistazo a su mundo muestra que tienen capacidades avanzadas que a menudo superan a los equipos de seguridad bien financiados y las herramientas de seguridad corporativa, especialmente cuando se enfrentan a soluciones heredadas como los antivirus basados en firmas. Muchos centros de operaciones de seguridad (SOC) no priorizan las amenazas reales y pierden el tiempo tratando de resolver otras que, de manera realista, nunca podrán escalar para cumplir.

Los defensores de la seguridad deben ir más allá de la imagen mental de la figura solitaria encapuchada sentada en un sótano con poca luz mientras el humo del cigarrillo sale de un cenicero sucio. Hagamos un balance del mundo del delito cibernético tal como existe hoy: estratégico, mercantilizado y colaborativo (especialmente si los delincuentes tienen dinero para gastar).

La intención estratégica respalda cada ataque

Los adversarios siempre tienen un propósito comercial; hay un plan para cada pieza de malware. Para empezar, los ciberdelincuentes fisgonean para acceder a su entorno, buscando algo que puedan robar y potencialmente revender a otra persona. Mientras que un atacante puede no saber exactamente lo que quieren hacer una vez que obtienen acceso a su entorno, tienden a reconocer el valor cuando lo ven.

Pueden realizar un reconocimiento buscando configuraciones incorrectas o puertos expuestos para explotar, un proceso que a menudo se hace trivialmente fácil gracias a las bases de datos CVE conocidas y los escáneres de puertos abiertos gratuitos. El compromiso inicial también se puede lograr robando las credenciales de un usuario para acceder al entorno, un proceso que a veces es incluso más fácil, antes de moverse lateralmente para identificar los activos clave.

El mercado negro de armas cibernéticas está madurando

Los ciberdelincuentes han desarrollado un mercado clandestino sofisticado. Las herramientas han evolucionado de productos relativamente económicos y de baja tecnología a aquellos con capacidades avanzadas entregadas a través de modelos comerciales familiares para los consumidores legítimos, como el software como servicio (SaaS). Los cazadores de amenazas son testigos de la mercantilización de las herramientas de piratería.

Los kits de phishing, los exploits preempaquetados y las herramientas de clonación de sitios web solían ser muy comunes. Diseñadas para imitar las páginas de inicio de sesión de sitios web, como Microsoft Office 365 o Netflix, estas herramientas fueron bastante efectivas para capturar las credenciales de los usuarios durante muchos años.

Sin embargo, durante las últimas dos décadas, la comunidad de seguridad respondió a este tipo de actividad con técnicas como reconocimiento de patrones, rastreo de URL e inteligencia de amenazas compartida. Herramientas como VirusTotal han convertido en una práctica común el descubrimiento de archivos maliciosos que se comparten con la comunidad de seguridad en general casi instantáneamente. Naturalmente, los adversarios son muy conscientes de esto y se han adaptado.

Una nueva metodología de phishing

Los adversarios de hoy también han aprendido a capitalizar el auge de la autenticación de múltiples factores (MFA) secuestrando el proceso de verificación.

Un nuevo tipo de kit de phishing se llama EvilProxy. Al igual que los kits del pasado, imita las páginas de inicio de sesión del sitio web para engañar a los usuarios para que revelen sus credenciales de inicio de sesión. A diferencia de los kits de phishing del pasado que se vendían como compras únicas, esta nueva metodología, vendida por especialistas en compromiso de acceso, opera a través de un modelo de alquiler, en el que el vendedor alquila espacio en su propio servidor para ejecutar campañas de phishing.

Albergan un servidor proxy que funciona como un modelo SaaS. El servicio cuesta alrededor de $250 por 10 días de acceso. Esto permite que los proveedores de SaaS ganen más dinero y les permite recopilar estadísticas que luego pueden publicar en foros de piratas informáticos para comercializar sus productos y competir con otros vendedores.

Los nuevos kits tienen protecciones integradas para defender su entorno de phishing de visitantes inesperados. Dado que obviamente no quieren que los rastreadores web indexen sus sitios, utilizan la protección contra bots para bloquear a los rastreadores, la tecnología de detección de virtualización matizada para evitar que los equipos de operaciones de seguridad realicen el reconocimiento a través de una máquina virtual (VM) y la detección de automatización para evitar que los investigadores de seguridad rastreen los sitios web de sus kits desde diferentes ángulos.

El escenario del “adversario en el medio”

En el contexto de eludir MFA, actuar como un proxy inverso para el contenido auténtico de la página de inicio de sesión crea grandes problemas para la detección típica de phishing. Al ubicarse entre el usuario y el sitio web de destino, el servidor proxy inverso le permite al adversario obtener acceso al nombre de usuario, la contraseña y la cookie de sesión que se establece después de que se completa MFA. Luego pueden reproducir la sesión en un navegador y actuar como el usuario en ese destino.

Para el usuario, todo parece normal. Mediante el uso de ligeras variaciones de nombres en las URL, los ciberdelincuentes pueden hacer que el sitio parezca completamente legítimo, con todo funcionando como debería. Mientras tanto, han obtenido acceso no autorizado a través de ese usuario, que luego pueden explotar para sus propios fines o subastarse al mejor postor.

El modelo de negocio del adversario

Además de las nuevas metodologías de phishing, el malware se vende abiertamente en Internet y opera en una especie de espacio gris, flotando entre lo legal y lo ilegal. Un ejemplo de ello es BreakingSecurity.net, que comercializa el software como una herramienta de vigilancia remota para empresas.

Cada pieza de malware tiene un precio asociado para generar un resultado. Y estos resultados tienen una intención comercial clara, ya sea para robar credenciales, generar criptomonedas, exigir un rescate u obtener capacidades de espionaje para husmear en una infraestructura de red.

Hoy en día, los creadores de estas herramientas se asocian con los compradores a través de programas de afiliados. Similar a un esquema de marketing multinivel, le dicen al comprador afiliado de la herramienta: "Ven a mí cuando entres". Incluso ofrecen garantías de productos y soporte 24/7 de la herramienta a cambio de dividir las ganancias. Esto les permite escalar y construir una jerarquía. Otros tipos de empresarios ciberdelincuentes venden compromisos preexistentes al mejor postor. Hay múltiples modelos de negocio en juego.

La realidad de hoy: caso para un entorno de pruebas en la nube avanzado

Los equipos de seguridad deben entender lo que hacen los adversarios de hoy y qué tan rápido pueden desarrollar sus acciones. El malware avanzado que hay ahora en el mercado es incluso más grave que el phishing. Ya sean Maldocs que evaden filtros, ransomware, ladrones de información, troyanos de acceso remoto (RAT) o herramientas posteriores a la explotación que combinan conjuntos de herramientas, los actores de amenazas están más avanzados que nunca, al igual que sus modelos comerciales.

Las contramedidas basadas en sandboxes estándar no proporcionan mucho en cuanto a la prevención en línea. La detección que combina la nube y la IA puede detener las amenazas más sigilosas en línea, en tiempo real y a escala.

Si no estás evolucionando con los adversarios, te estás quedando atrás. Porque los ciberdelincuentes de hoy en día son tan profesionales y están en su juego como usted.

Leer más Perspectivas de socios de Zscaler.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://www.darkreading.com/zscaler/of-exploits-and-experts-the-professionalization-of-cybercrime

Inteligencia de datos generativa

De exploits y expertos: la profesionalización del ciberdelito

La intención estratégica respalda cada ataque

El mercado negro de armas cibernéticas está madurando

Una nueva metodología de phishing

El escenario del “adversario en el medio”

El modelo de negocio del adversario

La realidad de hoy: caso para un entorno de pruebas en la nube avanzado

OpenAI lanza especificaciones de modelo: dar forma al comportamiento deseado en IA

China vs Estados Unidos: ¿Quién está perdiendo la carrera de la IA?

Información más reciente

Carta del Congreso busca un gran aumento en el presupuesto científico de la NASA

La memecoin 'Boden' surge después de que Trump bromeara al respecto

Revolut presenta una plataforma de comercio de criptomonedas para consumidores en el Reino Unido – CryptoInfoNet

La cotización de acciones estadounidenses en la Bolsa de Nueva York del proveedor de Crypto Wallet Exodus se pospone para revisión de la SEC

La Cámara de Representantes de EE. UU. vota para revocar la regla de la SEC sobre la contabilidad de criptomonedas – CryptoInfoNet

Los acreedores de FTX buscan reembolsos a las tasas actuales del mercado