En el Informe de amenazas de este mes, le pedimos a los expertos de nuestro equipo de Detección y respuesta administrada que analizaran la caza de amenazas, cómo se usa para la defensa proactiva y algunos de los conceptos erróneos más comunes. También nos sumergimos en los últimos hallazgos de ransomware de nuestros laboratorios.
Perspectivas de nuestro equipo de «Detección y respuesta administrada».
¿Qué es la caza de amenazas cibernéticas?
La caza de amenazas cibernéticas es una actividad de defensa cibernética proactiva. La palabra clave es proactiva . Los cazadores de amenazas buscan descubrir actividades nefastas que las herramientas de detección pasan por alto. La búsqueda de amenazas utiliza manuales de consultas, alertas SIEM, revisiones de registros y monitoreo de redes o endpoints, solos o en combinación, para permitir la detección de actividades sospechosas o maliciosas.
Por ejemplo, la búsqueda proactiva permite a los analistas encontrar un atacante que puede estar escondiéndose detrás de credenciales comprometidas y/o viviendo de la tierra (usando programas comunes, procesos y otros lugares existentes para ocultar actividad maliciosa). La caza de amenazas cibernéticas es el elemento humano para defenderse de los actores de amenazas, específicamente los avanzados como los estados-nación y los actores criminales sofisticados, como los grupos de Ransomware que actúan como servicios , que son conocidos por permanecer ocultos mucho antes de ser detectados.
Contrariamente a la creencia popular de que el tiempo de permanencia de los adversarios (el tiempo que los actores de amenazas permanecen sin ser detectados) ha aumentado de manera constante, la verdad es todo lo contrario. El Reporte de investigación (DBIR) más reciente de Verizon descubrió que, si bien el tiempo de descubrimiento ha disminuido en los últimos años para la mayoría de las infracciones, no se debe a que las empresas estén mejorando en la detección. La disminución se debe a que los propios actores de amenazas revelan con mayor frecuencia las infracciones a través de sitios de extorsión y volcado de datos. Las infracciones que duran meses representan aproximadamente el 20% de las infracciones, según DBIR, pero han disminuido constantemente desde 2017 (cuando este número era casi el 50%).
Estas no son buenas noticias, ya que las organizaciones ahora tienen menos tiempo para evitar que un incidente de seguridad se convierta en una brecha de seguridad. La búsqueda proactiva de amenazas brinda a las organizaciones la oportunidad de luchar para encontrar a un atacante que se esconde en la red antes de que se produzcan daños. A medida que los actores de amenazas cambian su enfoque de la violación de la disponibilidad (ransomware) a la violación de la confidencialidad (exfiltración de datos), las capacidades de detección y respuesta se vuelven aún más importantes.
Otra forma de considerar la caza de amenazas es que es una respuesta a incidentes sin incidentes. Los analistas suelen buscar pistas de campañas de amenazas cibernéticas específicas y conocidas, amenazas emergentes sin firmas escritas o tácticas comunes entre una variedad de actores de amenazas durante las «cacerías».
Flujo simplificado de Threat Hunting (Caza de Amenazas), una respuesta a incidentes sin incidentes
Lo que no es la caza de ciberamenazas
Desafortunadamente, existen bastantes conceptos erróneos comunes sobre la caza de amenazas. No es solo un término de marketing, es una capa de seguridad que va más allá de la simple investigación de alertas. La caza de amenazas protege a las organizaciones contra todo tipo de amenazas: todo, desde botnets automatizados que ofrecen malware comercial hasta amenazas persistentes avanzadas (APT) , que incluyen a los grupos criminales más sofisticados y actores de estados-naciones.
Algunos conceptos erróneos comunes incluyen:
- “Es una prueba de penetración” – Falso: La prueba de penetración o Red Teaming es un tipo de piratería ética que intenta evaluar un sistema de seguridad y encontrar vulnerabilidades. Aunque los cazadores de amenazas pueden encontrar vulnerabilidades durante sus búsquedas rutinaria o basadas en inteligencia, en cuyo caso brindan recomendaciones a los clientes, no es el único propósito de la búsqueda de amenazas.
- «Es una investigación de alerta» – Falso : La clasificación de alerta es reactiva, en la que una actividad ha coincidido con las firmas de la herramienta de detección y ha alertado a un equipo de seguridad para que investigue. Una conclusión importante del DBIR 2022 de Verizon es que la cantidad de pasos que toman los atacantes para violar un entorno es menor a cinco , en la mayoría de los casos. Esto significa que en el momento en que se activa una alerta de actividad maliciosa, es probable que el atacante ya haya realizado varios pasos para llegar allí. La búsqueda de amenazas busca de manera proactiva los signos de un ataque que puede parecer benigno o que intenta evadir la detección, es decir, la actividad anterior a la alerta.
- “Se puede automatizar completamente” – Falso: Detrás de cada ciberataque hay un ser humano que puede cambiar de táctica, cambiar de objetivo y pasar a una nueva operación. Al final del día, la automatización es tan buena como su código o firma, lo que a menudo significa el descubrimiento de actividades de amenazas que ya se conocen, frente a las desconocidas. El aprendizaje automático puede ser ruidoso al principio, y demasiados falsos positivos pueden adormecer a los defensores en un ajuste de firma ineficaz o generar una falsa sensación de seguridad. Los analistas de amenazas pueden tomar decisiones en tiempo real y, en función de su experiencia, pueden buscar comportamientos anormales, como usuarios que acceden a sistemas o archivos que no deberían, crean nuevas carpetas, copian o descargan archivos o inician sesión en horarios irregulares. Luego, los analistas generalmente confirman si la actividad es maliciosa o no.
Búsqueda de amenazas mediante detección y respuesta gestionadas por Bitdefender
Los analistas de Bitdefender comienzan con una base que representa el entorno de un cliente, buscando comprender todos los factores en juego: desde comprender las tecnologías presentes en el entorno hasta la arquitectura de red y los usuarios clave o terceros con acceso. Los analistas del equipo de «Detección y respuesta administrada» a menudo operan con acciones preaprobadas por el cliente en mente, por lo general contactando con ellos para verificar la actividad legítima, recomendar las mejores prácticas o, como ejemplo, cerrar el acceso a la red a una máquina potencialmente comprometida durante un incidente.
Los analistas de Bitdefender también operan con acceso a la inteligencia más reciente, lo que ayuda a comprender las amenazas emergentes, como nuevos actores de amenazas o actores conocidos que han cambiado sus tácticas. Estos pueden consistir en amenazas centradas en la industria, la ubicación y la tecnología que pueden afectar a varios clientes o una amenaza dirigida que está ajustada para un solo cliente. Los analistas de «Detección y respuesta administrada» a menudo trabajan en estrecha colaboración para identificar las últimas amenazas y desarrollar paquetes de búsqueda basados en inteligencia para atrapar estas nuevas amenazas en el acto.
La caza de amenazas cibernéticas es una búsqueda proactiva a través de un entorno para cazar actividades maliciosas, sospechosas o riesgosas que han eludido la detección por parte de las herramientas existentes. Pocas veces en seguridad, una actividad que es fácil de implementar y usar obtiene un rendimiento tan sorprendente, resultando en una gran inversión.
Informe de ransomware
Los ataques de phishing selectivo a menudo se utilizan como vector de ataque inicial y la infección de ransomware suele ser la etapa final de la cadena de destrucción. Para este informe, analizamos las detecciones de malware recopiladas en julio de 2022 de nuestros motores antimalware estáticos. Nota: Solo contamos los casos totales, no la importancia monetaria del impacto de la infección. Los adversarios oportunistas y algunos grupos de Ransomware como servicio(RaaS) representan un porcentaje más alto en comparación con los grupos que son más selectivos con respecto a sus objetivos, ya que prefieren el volumen a un valor más alto.
Al mirar estos datos, recuerde que se trata de detecciones de ransomware, no de infecciones.
Las 10 principales familias de ransomware
Analizamos las detecciones de malware del 1 al 31 de julio. En total, identificamos 205 familias de ransomware . La cantidad de familias de ransomware detectadas puede variar cada mes, según las campañas de ransomware actuales en diferentes países.
Los 10 países principales
En total, hemos detectamos una fuerte presencia de ransomware de 151 países en nuestro conjunto de datos este mes. El ransomware sigue siendo una amenaza que afecta a casi todo el mundo. A continuación se muestra una lista de los 10 países más afectados por el ransomware. Muchos ataques de ransomware siguen siendo oportunistas y el tamaño de la población se correlaciona con la cantidad de detecciones.
Troyanos de Android
A continuación se muestran los 10 principales troyanos dirigidos a Android que hemos visto en nuestra telemetría durante julio de 2022.
Downloader.DN : Aplicaciones reempaquetadas tomadas de Google App Store y empaquetadas con adware agresivo. Algunos adware descargan otras variantes de malware.
SMSSend.AYE : Malware que intenta registrarse como la aplicación de SMS predeterminada en la primera ejecución solicitando el consentimiento del usuario. Si tiene éxito, recopila los mensajes entrantes y salientes del usuario y los reenvía a un servidor de comando y control (C&C).
Triada.LC : Malware que recopila información confidencial sobre un dispositivo (ID de dispositivo, ID de suscriptor, direcciones MAC) y la envía a un servidor C&C malicioso. El servidor C&C responde devolviendo un enlace a una carga útil que el malware descarga y ejecuta.
Banker.ZX: Aplicaciones maliciosas que se disfrazan de aplicaciones bancarias y pueden imitar una conversación con el servicio de atención al cliente. Cuando el malware se ejecuta por primera vez, solicita permisos para acceder a contactos, micrófono, geolocalización y cámara. Una vez que se otorgan los permisos, el malware puede recibir comandos del servidor C&C para filtrar datos confidenciales del teléfono.
Agent.AQQ: Un malware cuentagotas es un troyano que oculta la carga útil peligrosa dentro de una aplicación como técnica de evasión. Si puede evitar las defensas de seguridad, se implementa esta carga útil. La carga útil maliciosa es descifrada y cargada por el cuentagotas.
Agent.AQF: Un malware cuentagotas es un troyano que oculta la carga útil peligrosa dentro de una aplicación como técnica de evasión. Si puede evitar las defensas de seguridad, se implementa esta carga útil. La carga útil maliciosa se almacena como base64 en archivos de recursos.
HiddenApp.AID : Adware agresivo que se hace pasar por las aplicaciones de AdBlock. Cuando se ejecuta por primera vez, solicita permiso para mostrarse encima de otras aplicaciones. Con este permiso, la aplicación puede ocultarse del lanzador.
Marcher.AR : Aplicaciones que se disfrazan de aplicaciones de Play Store. El malware intenta solicitar permisos de accesibilidad para capturar pulsaciones de teclas y utiliza la función de grabación de pantalla VNC para registrar la actividad del usuario en el teléfono.
SpyAgent.EQ: Aplicaciones que filtran datos confidenciales como mensajes SMS, registros de llamadas, contactos o ubicación GPS.
Banker.YI – Aplicaciones polimórficas que se hacen pasar por aplicaciones legítimas (Google, Facebook, Sagawa Express…). Una vez instalado, localiza las aplicaciones bancarias instaladas en el dispositivo e intenta descargar una versión troyana del servidor C&C.
Informe de phishing homógrafo
Los ataques homógrafos funcionan para abusar de los nombres de dominio internacionales (IDN). Los actores de amenazas crean nombres de dominio internacionales que falsifican un nombre de dominio de destino. Cuando hablamos de «objetivo» de los ataques de phishing homógrafos de IDN, nos referimos al dominio que los actores de amenazas intentan suplantar.
A continuación se muestra la lista de los 10 objetivos más comunes de los sitios de phishing.
Acerca del Informe de amenazas de Bitdefender
El Informe de Amenazas de Bitdefender es una serie mensual que analiza noticias, tendencias e investigaciones sobre amenazas del mes anterior. No se pierda el próximo informe y síganos en nuestras redes sociales para mantenerse al tanto: Facebook, Instagram y Linkedln.
Bitdefender proporciona soluciones de ciberseguridad y protección avanzada contra amenazas a cientos de millones de endpoints en todo el mundo. Más de 150 marcas de tecnología han licenciado y agregado la tecnología de Bitdefender a sus ofertas de productos o servicios. Para darle una idea de la escala, Bitdefender descubre más de 400 amenazas nuevas cada minuto y valida 30 mil millones de consultas de amenazas diariamente. Esto nos brinda una de las vistas en tiempo real más completas de la industria del panorama de amenazas en evolución.