La industria hacker, cada vez más profesional, no solo ofrece malware y herramientas en alquiler. Los expertos criminales también ofrecen su trabajo por dinero. Su experiencia en amenazas persistentes avanzadas (APT) requiere una defensa a la altura de los ojos: detección y respuesta gestionadas (MDR).
En los últimos años, el cibercrimen se ha vuelto más organizado y se basa cada vez más en el ejemplo del mundo empresarial. Durante casi una década, Malware-as-a-Service ofreció inicialmente una entrada rápida en el mundo del cibercrimen y siempre ha habido una gran variedad de herramientas en el mercado ilegal: troyanos de acceso remoto (RAT), redes de bots para enviar spam o incluso sofisticados ataques de ransomware. Equipados de esta manera, los perpetradores con poca experiencia técnica ahora pueden operar incluso malware complejo. Los ingresos generados se reparten entre los distintos participantes, como en la vida empresarial normal: el fabricante, por ejemplo, recibe el 40 por ciento y el resto se lo llevan los operadores que realizan el ataque.
Ciberdelincuentes con división del trabajo
El ecosistema existente de servicios y malware ha alentado a los ciberdelincuentes a continuar con su división del trabajo de estilo industrial: los desarrolladores escriben el código, los gerentes de producto diseñan las hojas de ruta generales mientras consideran las contramedidas. El soporte técnico apoya a los usuarios en su trabajo diario. Todo el modelo de negocio está financiado por las víctimas. En su propio nombre, los actores anuncian en las redes sociales o bajo un alias de foro con los resultados financieros obtenidos de campañas anteriores para reclutar nuevos socios.
Desafortunadamente, Malware-as-a-Service comercial ha demostrado su valor. Los análisis muestran que la tendencia hacia la comercialización en un sentido negativo es más sostenible y de mayor alcance de lo que uno podría pensar: los desarrolladores y socios generan miles de millones en ingresos. Por ejemplo, los creadores del ataque de ransomware GandCrab afirmaron en foros clandestinos en 2019 que habían extorsionado a las empresas atacadas con más de dos mil millones de dólares estadounidenses.
De malware criminal a proveedor de servicios APT
Hace dos años, los grupos mercenarios de la APT empezaron a ofrecer sus servicios. Están dirigidos a jugadores clave interesados en métodos de ataque avanzados y que posiblemente trabajen con gobiernos. Apuntando a los sistemas de TI en gran parte de Europa y Alemania, estos grupos utilizan Tácticas, Técnicas y Procesos (TTP) avanzados para espiar y robar información confidencial.
En 2018, el anteriormente desconocido grupo APT RedCurl atacó a varias empresas de los sectores bancario, de seguros, legal, construcción, finanzas, consultoría, comercio minorista y turismo. Según el análisis realizado por expertos en seguridad de TI de Group-IB, los autores utilizaron un marco de malware poderoso para la exfiltración de datos. En el verano de 2020, Bitdefender reveló las actividades de otro grupo de atacantes APT profesionales: su modelo de negocio se basaba en el espionaje cibernético en la industria inmobiliaria. Para hacer esto, utilizó una carga útil maliciosa que se hizo pasar por un complemento para el popular software de gráficos por computadora en 3D, Autodesk 3ds Max. Las pruebas profesionales del código contra las contramedidas aseguraron que el malware no se detectara cuando se implementara.
El cibercrimen a un nuevo nivel
La experiencia de las organizaciones detrás de tales ataques lleva el delito cibernético a un nuevo nivel. Las herramientas de espionaje APT son productos de equipos experimentados de desarrolladores que tienen conocimientos altamente especializados. Estos utilizan kits de herramientas adaptados al proyecto respectivo. También evitan que el malware se propague más allá del objetivo real del ataque. Como resultado, es menos probable que los proveedores de defensa obtengan una copia del malware para una futura detección. Esto presenta a los equipos de defensa de las pequeñas y medianas empresas en particular con grandes desafíos. Los enfoques convencionales para detectar malware basado en archivos pasan por alto, por ejemplo, muestras de malware polimórfico y el llamado malware sin archivos. Las tácticas de vivir fuera de la tierra, como el abuso del Protocolo de escritorio remoto (RDP) u otras herramientas legítimas, son difíciles de detectar. Esto hace que sea muy difícil para las pequeñas y medianas empresas y organizaciones reaccionar ante estos peligros con la rapidez necesaria.
Es cierto que la mayoría de las empresas cuentan con tecnologías básicas para protegerse contra varios tipos de malware. Pero las sofisticadas herramientas de los profesionales de la APT, una vez dentro de la red corporativa, pueden pasar desapercibidas y evadir sus acciones, al menos por un tiempo.
profesionalizar la defensa
Las soluciones de seguridad de puntos finales por sí solas no pueden detectar comportamientos maliciosos y cargas útiles a lo largo de la cadena de ataque. La tecnología por sí sola no es suficiente para identificar ataques complejos que se han desarrollado con gran sofisticación y habilidad. La defensa contra los atacantes APT requiere la interacción de software y expertos.
Para descubrir todas las intenciones y el alcance total de un ataque realizado por profesionales, es importante evaluar los eventos agregados en una solución EDR (Detección y respuesta de punto final) por parte de un analista humano. Se pasa un incidente relevante a especialistas en forense digital para su análisis. La gestión de incidentes contiene el daño. Reduce el costo y el tiempo para restaurar el estado del sistema o el conjunto de datos anterior y evita daños a la reputación.
Pero la experiencia requerida para tal análisis es escasa y tiene un precio. También toma tiempo capacitar a un equipo de especialistas en riesgos cibernéticos. Por lo tanto, frente a atacantes altamente determinados, muchas organizaciones deberían considerar obtener ayuda externa en forma de ofertas administradas de detección y respuesta.
Detección y respuesta gestionadas
Un MDR (detección y respuesta administradas) operado externamente combina tecnologías de seguridad comprobadas para el análisis de seguridad de detección de puntos finales y las investigaciones de tráfico de red con la competencia y el conocimiento necesarios de expertos altamente calificados. Este centro de seguridad de TI adicional subcontratado respalda a las empresas que no tienen acceso a tecnologías avanzadas, como SIEM (Security Information and Event Management), TIP (Threat Intelligence Platform) y SOAR (Security Orchestration Automation and Response), o no tienen suficiente personal de defensa las XNUMX horas del día, los XNUMX días de la semana contra amenazas cibernéticas críticas para el negocio. La supervisión adicional proporcionada por expertos permite la detección avanzada de incidentes de seguridad con una respuesta rápida mediante procesos automatizados y aprobados previamente. Esto permite a los analistas externos tomar medidas rápidamente para mitigar y evitar amenazas.
Las ofertas de MDR también incluyen la búsqueda activa de amenazas hasta el monitoreo de la web oscura y análisis forense para investigar indicadores de amenazas contextuales y procesables. Los expertos también analizan el factor de riesgo de las personas y empleados. Los modelos de amenazas personalizados permiten una respuesta personalizada a los incidentes. Los objetivos de ataque que son críticos para la empresa y conllevan riesgos especiales para la empresa pueden monitorearse de manera específica. El Centro de Operaciones de Seguridad (SOC) del proveedor de MDR ofrece la experiencia de expertos y proporciona informes de acuerdo con los requisitos de los clientes de diferentes industrias.
restaurar el nivel de los ojos
No solo ha cambiado el panorama de las amenazas, sino también la organización, las estructuras y, en última instancia, la dotación de personal de los ciberdelincuentes. Sus modelos son la división del trabajo y los modelos de negocio en el mundo empresarial legal. Los atacantes externalizan la tecnología y el desarrollo. Los proveedores de servicios maliciosos continúan posicionándose con sus ofertas para atacar empresas de todos los tamaños y en todos los sectores para beneficiarse del ciberdelito. Es hora de que la economía legal piense en sus procesos de colaboración: las empresas no solo necesitan acceso a tecnologías de defensa, sino también a la competencia y experiencia de expertos externos para hacer frente a los actores dañinos. Compras lo que necesitas pero no puedes hacerlo tú mismo.
Más información en Bitdefender.com
Acerca de Bitdefender Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de