Agentes de la amenaza

Tiempo de lectura estimado: 7 minutos

Esta conferencia magistral pertenece al Módulo 6 “Agentes de la amenaza” de C1b3rWall Academy 2021/2022. El objetivo de la misma es conocer los principales agentes de amenaza que existen y sus características.

Actores de la amenaza

Cada año se realiza un seguimiento de los incidentes que más afectan, que son públicos o de los que se tienen noticias. De acuerdo a sus características se distinguen en cinco grandes grupos:

• Actores patrocinados por Estados
• Ciberdelincuentes
• Terroristas
• Hacktivistas
• Agentes internos/insiders

Actualmente, distintos tipos de actores emplean las mismas técnicas. Utilizan herramientas ya existentes y ahorran tiempo y dinero. Asimismo, se limita la atribución. Los principales objetivos de los diferentes actores son:

Actores patrocinados por Estado - APT

Cuando se habla de este tipo de ataque se suele utilizar el paradigma cyber kill-chain, que dice que un ataque sigue estas siete fases:

• Reconocimiento
• Preparación del código dañino
• Distribución del código dañino
• Se consigue explotar la vulnerabilidad
• Instalación del código dañino en el equipo
• Comunicación con command and control
• Realización de acciones objetivo

Este paradigma sostiene que si detenemos al atacante en una de estas fases sea cual sea, le obligamos a empezar desde el principio.

Sus objetivos suelen ser tres: el robo de información/propiedad intelectual (threat), el sabotaje y permanecer sin ser detectados el mayor tiempo posible (persistent).

Suelen tener unos grandes recursos y altos niveles de especialización, son TTPs muy avanzadas (APT). Buscan controlar el dominio con credenciales de “lo que sea” saltando de un equipo a otro hasta que eventualmente consiguen las del controlador del dominio y tienen control total de la red. Algunos ejemplos de los más famosos son Stuxnet, DNC hack, SolarWinds y HAFNIUM. Puedes encontrar todos los detalles de estas campañas en la masterclass en vídeo gratis. 

Cibercrimen

Sus objetivos son la extorsión, a veces doble, cifrado y robo o publicación de información. También buscan la degradación del servicio y la ganancia económica. Se caracterizan por realizar ataques de oportunidad, TTPs cada vez más avanzadas y una post-explotación muy agresiva. Utilizan más frecuentemente herramientas de control remoto que antes no usaban. Un ejemplo famoso fue REvil.

Conclusiones

Respecto a los APT cada vez son más complejos de detectar. La manera de defendernos es monitorizar en busca de amenazas constantemente. Una vez que la organización ha sido objetivo lo es para siempre ya que manejan información de la misma. En cuanto al cibercrimen debemos concienciar a los usuarios y conocer la superficie de exposición.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.

Ponente: Álvaro

Trabaja en el equipo de respuesta a incidentes de peligrosidad Muy Alta o Crítica del CCN-CERT: ataques complejos (APT) + ataques de ransomware con impacto crítico (análisis de logs, código dañino y forense). También se dedica al análisis de ciberamenazas, investigación de grupos APT y acreditado por SANS lethal forensicator.