- Los profesionales de la seguridad luchan por competir con los actores de amenazas
- Las nuevas tecnologías dan ventaja a los atacantes
- Armis Security se propuso combatir el cibercrimen desde dentro
Las superficies de ataque se están expandiendo a medida que las organizaciones crecen y aprovechan las nuevas tecnologías, los actores de amenazas están incorporando inteligencia artificial en sus campañas y los centros de intercambio de conocimientos de los ciberdelincuentes están ganando popularidad para compartir vulnerabilidades, tácticas, técnicas y procedimientos (TTP), afirma una nueva investigación. .
Armas Anatomía de la ciberseguridad El informe explica cómo los ciberataques aumentaron un 104% interanual en 2023, gracias a una serie de factores.
Frente a estas amenazas, Armis ha luchado contra los ciberdelincuentes infiltrándose en sus redes, recopilando inteligencia sobre cómo operan y sus capacidades, y descubriendo vulnerabilidades que los atacantes buscan explotar.
Investigadores de la Web Oscura
En uno de los eventos a los que asistió Tecnología Radar ProLos expertos de Armis brindaron información sobre cómo operan las redes criminales, las amenazas persistentes avanzadas (APT) y los grupos de ransomware, incluidas sus motivaciones, herramientas y modus operandi.
Como muchas empresas se dan cuenta, el mundo se enfrenta actualmente a un problema Falta de profesionales cualificados en ciberseguridad Debido a la presión y a los presupuestos ajustados. Por tanto, las organizaciones carecen del nivel de defensa necesario para corregir vulnerabilidades y prevenir ataques. Las pequeñas y medianas empresas son las más afectadas En 2024.
A medida que crecen los espacios de ataque, los equipos con plantillas cortas se enfrentan a una montaña de datos, y la analogía de la aguja en un pajar se vuelve demasiado familiar para la mayoría de los equipos.
Nader Izreal, CTO y cofundador de Armis Security, dio el ejemplo de buscar en cada mensaje de texto y correo electrónico la palabra “bomba” con la esperanza de frustrar un ataque. Esto no es posible.
Las herramientas defensivas mejoradas con IA ayudan hasta cierto punto, pero implementarlas lleva tiempo y hay que considerar cuestiones de cumplimiento, legales y presupuestarias antes de poder utilizarlas: barreras que los atacantes no tienen que tener en cuenta.
Cibercriminal clandestino
Los ciberdelincuentes recurren a la web oscura y Mensajes cifrados Para realizar sus actividades, aunque crean que sus actividades están ocultas, los defensores aún pueden recopilar información sobre sus actividades.
Por ejemplo, los ciberdelincuentes los utilizarán. Herramientas de privacidad Como el navegador TOR, que lleva el nombre coloquial del proyecto “enrutador cebolla”. Estas redes funcionan enmascarando el tráfico de Internet y evitando que nadie vea los datos, la ubicación y el destino del usuario mientras navega.
Los ciberdelincuentes utilizan páginas web oscuras para anunciar sus servicios, a las que normalmente se accede directamente a través de redes TOR. Algunos de los sitios más prolíficos ofrecerán programas de afiliados, lo que permitirá a las personas anunciar y promover sus negocios o servicios, generando un importante flujo de ingresos tanto para el atacante como para los anfitriones del sitio.
Sin embargo, así como los sitios web que utilizamos todos los días pueden tener vulnerabilidades, también pueden tenerlas los sitios web de la Dark Web. Se pueden explotar para obtener información sobre las vulnerabilidades de día cero que los atacantes buscan explotar, ya que Armis detecta y señala vulnerabilidades regularmente meses antes de que aparezcan en la lista de CISA. Vulnerabilidades explotadas conocidas Lista (KV).
Uno de los mayores planes para ganar dinero de los atacantes es la extorsión doble o triple. En estas circunstancias, los atacantes implementarán ransomware dentro de una red comprometida, cifrarán y extraerán datos confidenciales de la organización. En el caso de doble extorsión, la víctima tendría que realizar un pago único por la clave de descifrado y un segundo pago para evitar que los atacantes filtren los datos filtrados en línea.
Luego, los ciberdelincuentes pueden buscar entre los datos que han recopilado, a veces utilizando inteligencia artificial, direcciones de correo electrónico o nombres de usuario que puedan usarse para concentrarse en personas importantes dentro y fuera de la organización y amenazar con filtrar sus datos individuales si no lo hacen. No pagué.
Andrew Greeley, jefe de inteligencia de amenazas de Armis, también destaca que en algunos casos es ventajoso para un atacante manipular a un ejecutivo o miembro de la alta dirección para que realice cambios dentro de la propia organización en beneficio del atacante.
Los actores de amenazas son solo humanos
En el ejemplo mostrado en el evento de Armis, a un alto miembro de la empresa se le envió un archivo que parecía un trabajo académico relacionado con un posible caso de negocio. Sin embargo, cuando se abrió el archivo, infectó la red. Mientras examinaba cómo la bobina descargaba su carga útil, Armis descubrió un Google El enlace de la unidad se encuentra dentro de los metadatos del documento asociados con la página de Comando y Control (C2) del actor de la amenaza.
Armis también rastreó al actor de amenazas hasta varios sitios web oscuros donde anunciaban sus servicios y descubrió que el actor de amenazas había creado y vendido un kit de explotación y phishing dirigido alojado en Azure. Aunque su trabajo fue impresionante, los actores de amenazas son solo humanos al final del día.
Mientras exploraba la página C2 vinculada, Armis descubrió otras páginas C2 utilizadas por el usuario. El actor de amenazas, como muchos, no cumplió con los principios básicos de higiene cibernética y utilizó la misma contraseña en todas estas páginas. La vulnerabilidad de secuencias de comandos entre sitios permitió a Armis obtener acceso a la contraseña de los actores de amenazas y, por lo tanto, acceder a todos los sitios web de los actores de amenazas.
El atacante también publicitó su conjunto de herramientas grabándolo en la pantalla en acción. Por un breve momento en uno de estos videos, el actor de amenazas hace clic accidentalmente en el cliente de Spotify, exponiendo su nombre completo.
Utilizando inteligencia de código abierto, Armes pudo rastrear los sitios de redes sociales de los actores de amenazas y descubrió la página de lo que parecía ser un hombre de familia y un gastador prolífico, que mostraba varios autos, ropa cara y una motocicleta moderna. comprar. Por falta de contraseñas únicas y por recortar algunos fotogramas de metraje, desapareció un estilo de vida que valía 300.000 dólares al mes.
Transformando el flujo de nuevas tecnologías
Como se mencionó anteriormente, los actores de amenazas no tienen barreras para acceder a nuevas tecnologías, lo que les brinda una ventaja significativa y, a menudo, los coloca un paso por delante de los defensores. Herramientas de inteligencia artificial En particular, ofrece a los atacantes nuevas formas de ocultar su actividad.
Por ejemplo, se ha observado que algunos actores de amenazas utilizan modelos de IA de código abierto que se han modificado para eliminar las barreras de seguridad y luego crean botnets de dispositivos infectados para proporcionar la informática que permite al modelo de IA extraer criptomonedas.
Además, también se están desarrollando modelos de inteligencia artificial que dificultan la atribución. Al escribir código, a veces es posible localizar su fuente a nivel de país buscando idiomas y caracteres específicos. Se han detectado herramientas de inteligencia artificial que pueden alimentar vulnerabilidades escritas en un idioma o estilo diferente y luego adaptar el nuevo lenguaje de código para dificultar la atribución.
También se reduce la barrera de entrada al mundo del cibercrimen. Los ciberdelincuentes adaptan sus flujos de ingresos y venden sus propios exploits o acceso a organizaciones para que otros los utilicen, u ofrecen ransomware como servicio (RaaS).
Aramis resiste
La plataforma de seguridad y gestión de activos de Armis, Centrix, monitorea más de 5 mil millones de puntos finales en busca de posibles amenazas e intrusiones. Al monitorear a los actores de amenazas a medida que desarrollan códigos de explotación para vulnerabilidades de día cero, Armis puede advertir a las organizaciones antes de que las implementen, mitigando los ataques antes de que sucedan y mucho antes de una lista KEV.
Es importante que los altos ejecutivos y los ejecutivos recuerden que la ciberdefensa y la mitigación no se pueden medir en dólares. Al establecer presupuestos para los equipos de seguridad, debemos tener en cuenta que el retorno de la inversión depende de la protección continua contra las amenazas cibernéticas, evitando el costo mucho mayor de recuperarse de un ataque cibernético que podría dañar gravemente la función, la reputación y el negocio de una empresa. ganancia.