Profesionales de la ciberseguridad contra APT

20. Enero 2021
| No hay comentarios
APT hackers en alquiler

Compartir publicación

La industria hacker, cada vez más profesional, no solo ofrece malware y herramientas en alquiler. Los expertos criminales también ofrecen su trabajo por dinero. Su experiencia en amenazas persistentes avanzadas (APT) requiere una defensa a la altura de los ojos: detección y respuesta gestionadas (MDR).

En los últimos años, el cibercrimen se ha vuelto más organizado y se basa cada vez más en el ejemplo del mundo empresarial. Durante casi una década, Malware-as-a-Service ofreció inicialmente una entrada rápida en el mundo del cibercrimen y siempre ha habido una gran variedad de herramientas en el mercado ilegal: troyanos de acceso remoto (RAT), redes de bots para enviar spam o incluso sofisticados ataques de ransomware. Equipados de esta manera, los perpetradores con poca experiencia técnica ahora pueden operar incluso malware complejo. Los ingresos generados se reparten entre los distintos participantes, como en la vida empresarial normal: el fabricante, por ejemplo, recibe el 40 por ciento y el resto se lo llevan los operadores que realizan el ataque.

Ciberdelincuentes con división del trabajo

El ecosistema existente de servicios y malware ha alentado a los ciberdelincuentes a continuar con su división del trabajo de estilo industrial: los desarrolladores escriben el código, los gerentes de producto diseñan las hojas de ruta generales mientras consideran las contramedidas. El soporte técnico apoya a los usuarios en su trabajo diario. Todo el modelo de negocio está financiado por las víctimas. En su propio nombre, los actores anuncian en las redes sociales o bajo un alias de foro con los resultados financieros obtenidos de campañas anteriores para reclutar nuevos socios.

Desafortunadamente, Malware-as-a-Service comercial ha demostrado su valor. Los análisis muestran que la tendencia hacia la comercialización en un sentido negativo es más sostenible y de mayor alcance de lo que uno podría pensar: los desarrolladores y socios generan miles de millones en ingresos. Por ejemplo, los creadores del ataque de ransomware GandCrab afirmaron en foros clandestinos en 2019 que habían extorsionado a las empresas atacadas con más de dos mil millones de dólares estadounidenses.

De malware criminal a proveedor de servicios APT

Hace dos años, los grupos mercenarios de la APT empezaron a ofrecer sus servicios. Están dirigidos a jugadores clave interesados ​​en métodos de ataque avanzados y que posiblemente trabajen con gobiernos. Apuntando a los sistemas de TI en gran parte de Europa y Alemania, estos grupos utilizan Tácticas, Técnicas y Procesos (TTP) avanzados para espiar y robar información confidencial.

En 2018, el anteriormente desconocido grupo APT RedCurl atacó a varias empresas de los sectores bancario, de seguros, legal, construcción, finanzas, consultoría, comercio minorista y turismo. Según el análisis realizado por expertos en seguridad de TI de Group-IB, los autores utilizaron un marco de malware poderoso para la exfiltración de datos. En el verano de 2020, Bitdefender reveló las actividades de otro grupo de atacantes APT profesionales: su modelo de negocio se basaba en el espionaje cibernético en la industria inmobiliaria. Para hacer esto, utilizó una carga útil maliciosa que se hizo pasar por un complemento para el popular software de gráficos por computadora en 3D, Autodesk 3ds Max. Las pruebas profesionales del código contra las contramedidas aseguraron que el malware no se detectara cuando se implementara.

El cibercrimen a un nuevo nivel

La experiencia de las organizaciones detrás de tales ataques lleva el delito cibernético a un nuevo nivel. Las herramientas de espionaje APT son productos de equipos experimentados de desarrolladores que tienen conocimientos altamente especializados. Estos utilizan kits de herramientas adaptados al proyecto respectivo. También evitan que el malware se propague más allá del objetivo real del ataque. Como resultado, es menos probable que los proveedores de defensa obtengan una copia del malware para una futura detección. Esto presenta a los equipos de defensa de las pequeñas y medianas empresas en particular con grandes desafíos. Los enfoques convencionales para detectar malware basado en archivos pasan por alto, por ejemplo, muestras de malware polimórfico y el llamado malware sin archivos. Las tácticas de vivir fuera de la tierra, como el abuso del Protocolo de escritorio remoto (RDP) u otras herramientas legítimas, son difíciles de detectar. Esto hace que sea muy difícil para las pequeñas y medianas empresas y organizaciones reaccionar ante estos peligros con la rapidez necesaria.

Es cierto que la mayoría de las empresas cuentan con tecnologías básicas para protegerse contra varios tipos de malware. Pero las sofisticadas herramientas de los profesionales de la APT, una vez dentro de la red corporativa, pueden pasar desapercibidas y evadir sus acciones, al menos por un tiempo.

profesionalizar la defensa

Bogdan Botezatu, responsable de análisis de amenazas de Bitdefender

Las soluciones de seguridad de puntos finales por sí solas no pueden detectar comportamientos maliciosos y cargas útiles a lo largo de la cadena de ataque. La tecnología por sí sola no es suficiente para identificar ataques complejos que se han desarrollado con gran sofisticación y habilidad. La defensa contra los atacantes APT requiere la interacción de software y expertos.

Para descubrir todas las intenciones y el alcance total de un ataque realizado por profesionales, es importante evaluar los eventos agregados en una solución EDR (Detección y respuesta de punto final) por parte de un analista humano. Se pasa un incidente relevante a especialistas en forense digital para su análisis. La gestión de incidentes contiene el daño. Reduce el costo y el tiempo para restaurar el estado del sistema o el conjunto de datos anterior y evita daños a la reputación.

Pero la experiencia requerida para tal análisis es escasa y tiene un precio. También toma tiempo capacitar a un equipo de especialistas en riesgos cibernéticos. Por lo tanto, frente a atacantes altamente determinados, muchas organizaciones deberían considerar obtener ayuda externa en forma de ofertas administradas de detección y respuesta.

Detección y respuesta gestionadas

Un MDR (detección y respuesta administradas) operado externamente combina tecnologías de seguridad comprobadas para el análisis de seguridad de detección de puntos finales y las investigaciones de tráfico de red con la competencia y el conocimiento necesarios de expertos altamente calificados. Este centro de seguridad de TI adicional subcontratado respalda a las empresas que no tienen acceso a tecnologías avanzadas, como SIEM (Security Information and Event Management), TIP (Threat Intelligence Platform) y SOAR (Security Orchestration Automation and Response), o no tienen suficiente personal de defensa las XNUMX horas del día, los XNUMX días de la semana contra amenazas cibernéticas críticas para el negocio. La supervisión adicional proporcionada por expertos permite la detección avanzada de incidentes de seguridad con una respuesta rápida mediante procesos automatizados y aprobados previamente. Esto permite a los analistas externos tomar medidas rápidamente para mitigar y evitar amenazas.

Las ofertas de MDR también incluyen la búsqueda activa de amenazas hasta el monitoreo de la web oscura y análisis forense para investigar indicadores de amenazas contextuales y procesables. Los expertos también analizan el factor de riesgo de las personas y empleados. Los modelos de amenazas personalizados permiten una respuesta personalizada a los incidentes. Los objetivos de ataque que son críticos para la empresa y conllevan riesgos especiales para la empresa pueden monitorearse de manera específica. El Centro de Operaciones de Seguridad (SOC) del proveedor de MDR ofrece la experiencia de expertos y proporciona informes de acuerdo con los requisitos de los clientes de diferentes industrias.

restaurar el nivel de los ojos

No solo ha cambiado el panorama de las amenazas, sino también la organización, las estructuras y, en última instancia, la dotación de personal de los ciberdelincuentes. Sus modelos son la división del trabajo y los modelos de negocio en el mundo empresarial legal. Los atacantes externalizan la tecnología y el desarrollo. Los proveedores de servicios maliciosos continúan posicionándose con sus ofertas para atacar empresas de todos los tamaños y en todos los sectores para beneficiarse del ciberdelito. Es hora de que la economía legal piense en sus procesos de colaboración: las empresas no solo necesitan acceso a tecnologías de defensa, sino también a la competencia y experiencia de expertos externos para hacer frente a los actores dañinos. Compras lo que necesitas pero no puedes hacerlo tú mismo.

Más información en Bitdefender.com

 

Acerca de Bitdefender

Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

Nueva ola de phishing: los atacantes utilizan Adobe InDesign

Actualmente hay un aumento de los ataques de phishing que abusan de Adobe InDesign, un sistema de publicación de documentos conocido y confiable. ➡ Leer más

Bitdefender, Stories
, , , ,