La inteligencia de amenazas cibernéticas puede reforzar la postura de seguridad de una empresa y disminuir la probabilidad de ataques cibernéticos. Esto se logra desarrollando estrategias proactivas para evitar y mitigar amenazas inminentes. Aquí te mostramos cómo:
Detección temprana: La inteligencia de amenazas puede permitir la identificación oportuna de posibles ataques al detectar actividades sospechosas e Indicadores de Compromiso (IoC), alertando así a los equipos de seguridad para que actúen en consecuencia.
Gestión de vulnerabilidades: Esta forma de inteligencia puede destacar las vulnerabilidades del sistema, permitiendo la priorización de parches y otras contramedidas.
Análisis de malware: La identificación de malware se vuelve posible con la inteligencia de amenazas, permitiendo la actualización de herramientas de seguridad como software antivirus y cortafuegos.
Seguimiento de atacantes: Ayuda a rastrear las actividades de los atacantes y descubrir la infraestructura que utilizan, lo que puede prevenir futuros ataques.
Asistencia en incidentes: La inteligencia de amenazas ofrece valiosos conocimientos sobre las tácticas, técnicas y procedimientos (TTP) de los atacantes, facilitando la identificación de tipos de ataques y guiando los esfuerzos de remediación.
Medidas preventivas: Entender las tácticas y técnicas de los atacantes a través de la inteligencia de amenazas puede ayudar en la creación de políticas y procedimientos de seguridad efectivos.
Operaciones de desmantelamiento: Puede identificar la infraestructura del atacante, como servidores de comando y control, sitios de phishing y procesadores de pagos, interrumpiendo sus operaciones.
Por lo tanto, la inteligencia de amenazas forma una parte esencial de cualquier estrategia de ciberseguridad integral, manteniendo a las organizaciones un paso por delante de los ciberatacantes.
Ataques de Botnet
La inteligencia de amenazas puede ser instrumental en el reconocimiento y respuesta a ataques de botnet, redes de computadoras comprometidas bajo el control de un único atacante con el propósito de realizar ciberataques. En 2017, CheckPoint y Qihoo 360 Netlab localizaron y desactivaron con éxito un botnet llamado "Reaper", utilizando inteligencia de amenazas.
En el año 2017, CheckPoint, una empresa especializada en ciberseguridad, y Qihoo 360 Netlab, una firma de seguridad de origen chino, dieron con una botnet conocida como "Reaper". Esta red de bots había logrado comprometer más de un millón de dispositivos vinculados a Internet, incluyendo cámaras IP y enrutadores. Se estima que el incidente empleó más de 100,000 nodos terminales maliciosos para colapsar los servidores. Reaper fue creada con el propósito de ejecutar ataques DDoS y sustraer datos.
Para identificar los Indicadores de Compromiso (IoC) y monitorizar la actividad de la botnet, estas empresas usaron honeypots y así rastrear los nombres de dominio y las direcciones IP empleadas por los servidores de comando y control (C&C). Observaron que uno solo de los servidores de C&C tenía bajo su control a más de 10,000 bots. Los países que registraron la mayor cantidad de dispositivos infectados por Reaper fueron China, Italia y Singapur.
Los diez países más afectados
Netlab confirmó que Reaper estaba utilizando un conjunto de exploits que contenía 9 vulnerabilidades, específicamente: D-Link 1, D-Link 2, Netgear 1, Netgear 2, Linksys, GoAhead, JAWS, Vagron y AVTECH. CheckPoint también descubrió que la botnet atacaba routers MicroTik y TP-Link, servidores Linux y dispositivos NAS de Synology. Esta fue una estrategia de inteligencia de amenazas para identificar la infraestructura de C&C que la botnet empleaba. Con dicha información, lograron desactivar los servidores de C&C, paralizando efectivamente a la botnet. Además, compartieron sus hallazgos con organismos policiales y otros investigadores de seguridad para ayudar a prevenir futuros ataques similares. Este caso representa un ejemplo eficaz del uso de la inteligencia de amenazas para combatir ataques de botnets.
La entrega histórica de las muestras de IoT_reaper
Ransomware
La inteligencia de amenazas juega un papel crucial en la prevención, detección y respuesta a los ataques de ransomware. Las empresas que integran la inteligencia de amenazas en su plan de seguridad potencian su habilidad para resguardar sus sistemas y datos de amenazas crecientemente sofisticadas.
En mayo de 2021, la Oficina Federal de Investigación (FBI) de los Estados Unidos y el Servicio Federal de Seguridad de Rusia (FSB), en colaboración con varios socios del sector privado, lograron desarticular la infraestructura de la famosa banda de ransomware REvil, también conocida como Sodinokibi. REvil había estado detrás de diversos ataques de alto perfil, como el incidente de ransomware contra la empresa procesadora de carne JBS USA, que terminó pagando un rescate de 11 millones de dólares en Bitcoin a REvil.
Desde su aparición en 2019, REvil ha perpetrado numerosos ataques contra empresas reconocidas, como JBS, Coop, Travelex y Grupo Fleury. Finalmente, el 2 de julio, en un ataque masivo utilizando una vulnerabilidad de día cero de Kaseya, el grupo de ransomware cifró sesenta proveedores de servicios administrados y más de 1,500 empresas en todo el mundo. El 23 de julio de 2021, Kaseya informó que habían obtenido la clave de descifrado para los archivos cifrados el 2 de julio.
El ataque de ransomware a Kaseya VSA provino de un "tercero de confianza" anónimo, que resultó ser el FBI, que había retenido la clave durante tres semanas y ayudaba a las víctimas a recuperar sus archivos. La clave fue retenida para evitar alertar a REvil sobre un esfuerzo del FBI para inhabilitar sus servidores, algo que finalmente no fue necesario después de que los ciberdelincuentes se desconectaron por su cuenta.
La operación exitosa se basó en una recopilación de inteligencia de amenazas cibernéticas exhaustiva realizada por el FBI, AFP y sus socios. El director de estrategia de ciberseguridad de VMWare declaró: "El FBI, junto con el Comando Cibernético, el Servicio Secreto y países aliados, realmente se ha enfocado en acciones disruptivas significativas contra estos grupos". Gracias a esta recolección de inteligencia, la policía pudo identificar la infraestructura y a los individuos claves detrás de los ataques de ransomware de REvil.
En septiembre de 2021, Bitdefender, una firma de ciberseguridad rumana, lanzó una utilidad de descifrado universal gratuita para asistir a las víctimas del ransomware REvil/Sodinokibi a recuperar sus archivos cifrados, siempre que estos se hubiesen cifrado antes del 13 de julio de 2021.
Descifrado de archivos cifrados REvil con descifrador
La operación también incluyó esfuerzos sincronizados para interrumpir las comunicaciones del grupo delictivo, tomar control de sus servidores y detener a individuos vinculados con la organización. Como consecuencia de esta exitosa misión, las actividades de ransomware de REvil se detuvieron y se arrestó a varias personas relacionadas con el grupo. Este caso ilustra de forma concisa cómo se puede aplicar la inteligencia de amenazas cibernéticas para identificar y frenar las operaciones de los grupos de ransomware.
La inteligencia de amenazas puede ser excepcionalmente útil para prevenir y abordar ataques de amenazas persistentes avanzadas (APT), que suelen ser ejecutados por grupos altamente capacitados que son difíciles de detectar y contener. Para más detalles, puedes visitar el blog de SOCRadar sobre el asunto. Aquí hay un ejemplo de cómo la inteligencia de amenazas ha sido empleada exitosamente para contrarrestar ataques APT:
En 2017, la firma de ciberseguridad FireEye identificó a un grupo APT denominado "APT32" o OceanLotus, que estaba dirigiendo sus acciones a organizaciones en el sudeste de Asia. El grupo empleaba técnicas sofisticadas para evitar ser detectado y obtener acceso a información sensible. FireEye empleó inteligencia de amenazas para seguir la pista a las actividades del grupo y descubrir su infraestructura para contrarrestar la amenaza. Descubrieron que el grupo empleaba una combinación de malware personalizado y herramientas prefabricadas para llevar a cabo sus ataques.
El grupo creó una página web que simulaba ser un sitio para estudiantes vietnamitas estudiando en el extranjero. Cuando los visitantes intentaban registrarse para abrir una cuenta, eran redirigidos a un sitio web malicioso que distribuía malware. Este malware permitía a OceanLotus tomar el control del equipo del afectado.
Además, los integrantes de APT32 crearon documentos señuelo en varios idiomas que fueron adaptados a víctimas específicas. Aunque los archivos tenían la extensión ".doc", los señuelos de phishing que se recuperaron eran archivos de página web ActiveMime ".mht" que contenían texto e imágenes. Estos archivos probablemente fueron creados exportando documentos de Word a páginas web de archivo único. Los integrantes de APT32 enviaban archivos adjuntos maliciosos a través de correos electrónicos de spear phishing. La evidencia ha demostrado que algunos pueden haber sido enviados a través de Gmail.
Muestra de archivos de señuelo APT32
Con esta información, FireEye creó un conjunto de indicadores de compromiso (IoCs) que podrían utilizarse para identificar la actividad del grupo. El malware asociado incluye SOUNDBITE, WINDSHIELD, PHOREAL, BEACON y KOMPROGO. Al reconocer estos IoC, FireEye puede elaborar firmas y normas que se pueden utilizar para detectar y bloquear el malware y la infraestructura de comando y control de APT32. Estos IoC también pueden ser compartidos con otras organizaciones y entidades de aplicación de la ley, permitiéndoles identificar y bloquear la actividad de APT32 dentro de sus propias redes.
Regla YARA para macros maliciosas APT32
Te podría interesar leer: Detecta y Combate el Malware con Reglas Yara
Utilizando inteligencia de amenazas para seguir la pista a la actividad del grupo APT y elaborar IoCs, FireEye logró detectar y atenuar eficazmente la amenaza. Este es simplemente un caso ilustrativo de cómo la inteligencia de amenazas puede ser implementada en la lucha contra los ataques APT.
Orientación del sector privado APT32 identificada por FireEye
SOCRadar, en un monitoreo continuo de la superficie de internet, la deep web y la dark web en busca de vulnerabilidades y filtraciones de datos, descubrió BlueBleed Parte I.
En 2022, el módulo de seguridad cloud integrado de SOCRadar identificó un almacenamiento Azure Blob mal configurado, administrado por Microsoft, que contenía información delicada de un destacado proveedor de servicios en la nube. A raíz de las pesquisas en el servidor incorrectamente configurado, las bases de datos SQLServer y otros archivos, los analistas de SOCRadar encontraron 2,4 TB de datos accesibles al público que resguardaban información privada de Microsoft. Los datos expuestos abarcan documentos desde 2017 hasta agosto de 2022.
Según el análisis, la fuga, denominada BlueBleed Parte I, incluye información crucial de más de 65,000 empresas de 111 países. De acuerdo a la declaración de SOCRadar, sus investigadores descubrieron más de 335,000 correos electrónicos, 133,000 proyectos y 548,000 usuarios expuestos en las filtraciones.
Tras recibir la alerta, el equipo de seguridad de Microsoft investigó de inmediato el problema y confirmó que el bucket de S3 contenía archivos relacionados con su motor de búsqueda Bing, incluyendo registros y archivos de configuración. Microsoft procedió entonces a proteger el bucket para impedir el acceso no autorizado y revisó exhaustivamente sus configuraciones de almacenamiento en la nube para prevenir incidentes similares en el futuro.
Este evento pone de relieve la importancia de una configuración de seguridad adecuada y el control de acceso para los servicios de almacenamiento en la nube, y el valor de la inteligencia de amenazas cibernéticas para detectar posibles riesgos de seguridad. Gracias a la plataforma de SOCRadar, Microsoft pudo identificar y resolver un problema de seguridad antes de que los actores de amenazas pudieran explotarlo.
Para concluir, como lo demuestran los casos debatidos en este blog, la inteligencia de amenazas cibernéticas ha jugado un papel esencial en la identificación y mitigación de varias amenazas cibernéticas, incluyendo ataques de phishing, ransomware, violaciones de datos, entre otros.
Las plataformas de inteligencia de amenazas como SOCRadar pueden identificar amenazas potenciales en un amplio rango de superficies de ataque utilizando tecnologías y técnicas avanzadas, y proveer a las empresas con inteligencia procesable para protegerse contra estas amenazas.
Los módulos extendidos de inteligencia de amenazas cibernéticas de SOCRadar representan una valiosa plataforma para las empresas que buscan mantenerse al frente del cambiante panorama de amenazas. SOCRadar permite a las organizaciones tomar decisiones de seguridad más informadas y responder de manera rápida y efectiva a las amenazas potenciales al proporcionar inteligencia de amenazas integral en tiempo real. Además, la integración de la plataforma con varias herramientas de seguridad facilita a las empresas la incorporación de la inteligencia de amenazas cibernéticas en sus flujos de trabajo y procesos de seguridad existentes de manera más eficiente.
Módulo de actores de amenazas SOCRadar
Como resultado, este blog enfatiza la crucial importancia del intercambio de inteligencia sobre amenazas cibernéticas en la lucha contra las amenazas informáticas, subrayando la necesidad imperante de que las empresas permanezcan vigilantes y proactivas. Al utilizar las herramientas, tecnologías adecuadas, y servicios como ciberpatrullaje que ofrece TecnetOne, las empresas pueden obtener una ventaja contra las amenazas potenciales y protegerse contra las tácticas en constante evolución utilizadas por los cibercriminales y actores de amenazas.
Los ejemplos de la vida real presentados en este blog sirven como recordatorio de que las empresas requieren soluciones confiables como TecnetOne como proveedor de inteligencia de amenazas cibernéticas para navegar eficazmente el complejo y siempre cambiante panorama de amenazas cibernéticas. Con la experiencia y soluciones de TecnetOne, las empresas pueden fortalecer su postura de seguridad, mitigar riesgos y proteger su infraestructura digital de amenazas potenciales.