Perspectivas de MDR: Comprender el panorama de las amenazas
En nuestro debate anterior sobre el modelado de amenazas y su aplicación en la supervisión de inteligencia de Bitdefender MDR, hicimos hincapié en la importancia de tener en cuenta el panorama de amenazas. Este término se refiere a la imagen global de las amenazas y riesgos potenciales de ciberseguridad a los que se enfrentan individuos, organizaciones o sistemas, incluyendo varios ciberataques, vulnerabilidades y adversarios potenciales. Una comprensión clara del panorama de amenazas es fundamental para identificar, evaluar y mitigar los riesgos de seguridad.
Pero, ¿cómo realiza una organización esta evaluación?
En el proceso de modelado de amenazas, se sientan las bases mediante la investigación y la recopilación de información por parte de los analistas, que luego guían actividades como la supervisión, la definición de líneas de base y la caza de amenazas. Con estos datos, es necesario pasar de una mentalidad defensiva a una ofensiva: pensar como un atacante. He aquí siete consideraciones clave para este ejercicio:
• Objetivos anteriores: Analizar ataques anteriores, exitosos o no, para diseccionar los vectores de ataque, los objetivos y las estrategias.
• Motivos del ataque: Profundice en las posibles razones por las que su empresa es un objetivo, incluidos los beneficios económicos, la interrupción, el robo o el espionaje.
• Afiliaciones y terceros: Evalúe las afiliaciones con terceros que podrían hacer vulnerable a su empresa en caso de verse comprometida.
• Tácticas adversarias: Analice cómo podría enfocar sus objetivos un adversario, aprovechando puntos débiles como una gestión inadecuada de los activos o una tecnología obsoleta.
• Preparación técnica: Examine su configuración técnica en cuanto a vulnerabilidades, parches, formación de usuarios y planes de respuesta a incidentes.
• Adaptación a los cambios: Considere cómo los acontecimientos locales o globales podrían afectar a sus operaciones y trabajo remoto, alineando las medidas de ciberseguridad en consecuencia.
• Perspectivas del sector: Investigue las tendencias de los ciberataques que afectan a su sector y ubicación geográfica.
Adoptar este enfoque exploratorio proporciona claridad a su superficie de ataque.Imagine que el ficticio ACME BANKS R Us (ABRU) adoptara esta metodología. Reconocerían la amenaza persistente de grupos con motivaciones financieras que despliegan malware bancario y ransomware.El phishing y la ingeniería social también entran en su radar como vulnerabilidades potenciales. La pila tecnológica de la ABRU se convierte en un punto débil potencial, que requiere un mantenimiento constante para impedir su explotación.Los actores de amenazas explotan las vulnerabilidades, incluso disponiendo de herramientas de administración preferidas como PsExec para ejecutar programas de forma remota.
El concepto de panorama de amenazas introduce una capa añadida de comprensión, considerando posibilidades que pueden no haber sido evidentes inicialmente en el modelado de amenazas.Reconocer los riesgos y los activos que exigen protección informa las decisiones sobre herramientas, formación y procesos de seguridad, fortificando las defensas contra ataques potenciales y posicionándose para el éxito durante los incidentes de seguridad.
Reporte de ransomware
Los ataques de spear phishing se utilizan a menudo como vector de ataque inicial y la infección por ransomware suele ser la etapa final de la cadena letal.Para este informe, hemos analizado las detecciones de malware recopiladas en julio de 2023 por nuestros motores antimalware estáticos.Nota: solo contamos el total de casos, no la importancia monetaria del impacto de la infección.Los adversarios oportunistas y algunos grupos de Ransomware-as-a-Service (RaaS) representan un porcentaje más alto en comparación con los grupos que son más selectivos con sus objetivos, ya que prefieren el volumen a un mayor valor.
Al observar estos datos, recuerde que se trata de detecciones de ransomware, no de infecciones.
Las 10 principales familias de ransomware
Analizamos las detecciones de malware desde el 1 de julio hasta el 31 de julio de 2023. En total, identificamos 227 familias de ransomware. El número de familias de ransomware detectadas puede variar cada mes, en función de las campañas de ransomware actuales en los distintos países.
Los 10 principales países
En total, este mes hemos detectado ransomware procedente de 136 países en nuestro conjunto de datos. El ransomware sigue siendo una amenaza que afecta a casi todo el mundo. A continuación se muestra una lista de los 10 países más afectados por el ransomware. Muchos ataques de ransomware siguen siendo oportunistas, y el tamaño de una población está correlacionado con el número de detecciones.
Troyanos de Android
A continuación se muestran los 10 principales troyanos dirigidos a Android que hemos visto en nuestra telemetría durante julio de 2023.
Triada.LD - Malware que recopila información confidencial de dispositivos (como ID de dispositivos, ID de suscriptores, direcciones MAC) y luego la envía a un servidor de control y comando (C&C). El servidor de C&C responde enviando de vuelta un enlace a una carga útil que el malware descargará y ejecutará.
Downloader.DN - Aplicaciones reempaquetadas tomadas de Google App Store y empaquetadas con adware agresivo. Algunos adware descargan otras variantes de malware.
Triada.LC - Malware que recopila información confidencial sobre un dispositivo (ID de dispositivo, ID de suscriptor, direcciones MAC) y la envía a un servidor de C&C malicioso. El servidor de C&C responde enviando de vuelta un enlace a una carga útil, que el malware descarga y ejecuta.
InfoStealer.SO - Aplicaciones que exfiltran los mensajes de texto de los usuarios de forma regular.
SMSSend.AYE - Malware que intenta registrarse como aplicación SMS predeterminada en la primera ejecución solicitando el consentimiento del usuario. Si tiene éxito, recopila los mensajes entrantes y salientes del usuario y los reenvía a un servidor de C&C.
Banker.XO - Aplicaciones polimórficas que se hacen pasar por aplicaciones legítimas (Google, Facebook, Sagawa Express, etc.). Una vez instaladas, localizan las aplicaciones bancarias instaladas en el dispositivo e intentan descargar una versión troyanizada desde el servidor de C&C.
InfoStealer.AAL - Herramienta de administración remota para dispositivos móviles que permite a un atacante tomar el control del dispositivo de una víctima sin necesidad de acceso root. Una vez instalado el malware en el teléfono, el atacante puede llevar a cabo diversos ataques que comprometen la confidencialidad y privacidad de los datos de la víctima. La herramienta tiene capacidad para capturar el contenido de la pantalla, transmitir vídeo en directo desde las cámaras del teléfono, cargar y descargar archivos del dispositivo y rastrear la ubicación del usuario.
Banker.XX - Aplicaciones que se hacen pasar por aplicaciones bancarias coreanas para grabar audio y vídeo, recopilar información sensible (mensajes SMS, contactos, localización GPS...) y subirla a un servidor C&C.
SpyAgent.DW - Aplicaciones que exfiltran datos sensibles como mensajes SMS, registros de llamadas, contactos o localización GPS.
Marcher.AV - Aplicaciones que se hacen pasar por aplicaciones de Play Store. El malware intenta pedir permisos de accesibilidad para capturar las pulsaciones del teclado y también utiliza la función de grabación de pantalla VNC para registrar la actividad del usuario en el teléfono.
Informe sobre phishing homógrafo
Los ataques homógrafos tienen como objetivo abusar de los nombres de dominio internacionales (IDN). Los actores de la amenaza crean nombres de dominio internacionales que suplantan a un nombre de dominio objetivo. Cuando hablamos del "objetivo" de los ataques de phishing homógrafos IDN, nos referimos al dominio que los actores de la amenaza intentan suplantar. Puede leer más sobre este tipo de ataque en uno de nuestros informes anteriores.
A continuación se muestra la lista de los 10 objetivos más comunes de los sitios de phishing.
Acerca de Bitdefender Informe sobre amenazas
Bitdefender Threat Debrief (BDTD) es una serie mensual que analiza las noticias, tendencias e investigaciones sobre amenazas del mes anterior. No se pierda el próximo BDTD, suscríbase al blog Business Insights y síganos en Twitter. Puede encontrar todos los debriefs anteriores aquí.
Bitdefender proporciona soluciones de ciberseguridad y protección avanzada frente a amenazas a cientos de millones de puntos finales en todo el mundo. Más de 150 marcas tecnológicas han licenciado y añadido la tecnología Bitdefender a su oferta de productos o servicios. Este vasto ecosistema OEM complementa los datos de telemetría ya recogidos de nuestras soluciones empresariales y de consumo. Para que se haga una idea de la escala, los laboratorios de Bitdefender descubren más de 400 nuevas amenazas cada minuto y validan 30.000 millones de consultas diarias sobre amenazas. Esto nos proporciona una de las visiones en tiempo real más amplias del sector sobre la evolución del panorama de las amenazas.
Nos gustaría dar las gracias a los expertos de Bitdefender Alin Damian, Mihai Leonte, Justin Mills, Andrei Mogage, Sean Nikkel, Nikki Salas, Rares Radu, Ioan Stan, Marius Tivadar y Horia Zegheru (ordenados alfabéticamente) por su ayuda en la elaboración de este informe.
Autor: