Tácticas de hackers favoritas

La piratería de sistemas informáticos puede ocurrir de muchas maneras diferentes, desde ataques sofisticados con componentes de red de piratería hasta técnicas técnicamente primitivas, como comprometer la correspondencia comercial. En esta publicación, analizaremos las tácticas que utilizan los grupos de hackers más peligrosos: Lazarus, Pawn Storm, Cobalt, Silence y MoneyTaker .

Uno de los criterios más importantes para elegir herramientas de hackers, además del grado de propiedad de los miembros del grupo por ellos, es la efectividad. Los ciberataques modernos son operaciones complejas de múltiples etapas, cuya implementación requiere mucho tiempo y recursos financieros serios. Si la penetración en el sistema falla, todo el trabajo preliminar y los costos serán en vano. Por lo tanto, las tácticas de penetración en los sistemas que utilizan los grupos principales pueden considerarse las más efectivas.

Entre estas tácticas hay que destacar:

1. todo tipo de phishing: clásico, dirigido, phishing a través de las redes sociales, tabnabbing;
2. ataques a la cadena de suministro;
3. ataques como abrevadero;
4. ataques a través de vulnerabilidades de equipos de red y sistemas operativos;
5. ataques a través de la intercepción de DNS.

De hecho, todos estos métodos se conocen desde hace mucho tiempo, pero cada grupo aporta su propio "giro", convirtiendo tácticas efectivas en un proyectil que perfora la armadura o combinando con gracia varias técnicas para evitar fácilmente los sistemas de protección de las empresas.

Suplantación de identidad

En su forma más simple, el phishing es un correo electrónico normal que contiene un archivo adjunto o enlace malicioso. El texto de la carta está compuesto de tal manera que convenza al destinatario de realizar las acciones necesarias para el remitente: abra el archivo adjunto o siga el enlace para cambiar la contraseña.

Las cartas enviadas por colegas o gerentes son más creíbles que los mensajes de extraños, especialmente si el diseño de la carta es consistente con el estilo adoptado por la compañía. En este sentido, la fase preparatoria de una campaña cibernética que utiliza phishing necesariamente incluye la recopilación de información sobre la estructura de la organización, una lista de empleados y sus correos electrónicos, así como cartas reales que contienen elementos de diseño.

Agrupación de silencioUtiliza el phishing más común para la penetración con un ligero matiz: sus campañas necesariamente incluyen una fase de prueba con el envío de cartas inofensivas para verificar la relevancia de la base de direcciones recopilada. Esto le permite aumentar la efectividad del ataque enviando cartas con carga maliciosa a la base de datos de destinatarios verificada.

El grupo Pawn Storm también utiliza correos de phishing, y se agrega un amplificador de influencia como la autoridad para aumentar su efectividad. En este sentido, la fase preparatoria de su campaña incluye el llamado phishing de alta credencial: el robo de cuentas de alto nivel. Después de haber recopilado una cantidad suficiente de dichos datos en la organización objetivo, Pawn Storm realiza el envío de correos en nombre de estas personas, "cargándolos" con una carga útil que garantiza el logro exitoso de la meta.

En el arsenal de los trucos de Fancy Bear, hay otro, no muy conocido, que reemplaza un sitio legal por uno de phishing en las pestañas del navegador, tabnabbing , descrito por Aza Raskin de Mozilla en 2010. El ataque tabnabbing es el siguiente:

• la víctima es atraída a un sitio inofensivo controlado por un atacante;
• hay un script en el sitio que monitorea el comportamiento de la víctima: tan pronto como cambia a otra pestaña o no realiza acciones por mucho tiempo, el contenido del sitio cambia a la página de autorización en el correo o la red social, y el favicon del sitio al favicon del servicio correspondiente: Gmail, Facebook, etc. re.
• Volviendo a la pestaña, la víctima descubre que ha "iniciado sesión" y sin duda ingresa sus credenciales;
• , , .

Los hackers Lazarus no cambian por bagatelas, prefieren golpear exactamente en el objetivo. Sus armas son el phishing dirigido por correo y redes sociales. Habiendo elegido a un empleado de la empresa adecuado para sus tareas, estudian sus perfiles en las redes sociales y luego entablan correspondencia con él, que generalmente comienza con una oferta atractiva de un nuevo trabajo. Utilizando la ingeniería social, lo convencen, bajo la apariencia de algo importante, de descargar el malware y ejecutarlo en su computadora.

El equipo de MoneyTaker , que se especializa en bancos, realiza campañas de phishing en nombre de otros bancos, el banco central, el ministerio de finanzas y otras organizaciones relacionadas con las finanzas. Al copiar las plantillas de los departamentos pertinentes, otorgan a las cartas el grado necesario y suficiente de credibilidad para un ataque exitoso.

Ataques de contraparte

A menudo sucede que la organización objetivo está bien protegida, especialmente cuando se trata de una organización bancaria, militar o estatal. Para no romper la frente contra el "muro de hormigón" de los complejos de defensa, los grupos atacan a los contrarios con los que interactúa su objetivo. Tras comprometer el correo de varios empleados o incluso infiltrarse en la correspondencia, los piratas informáticos reciben la información necesaria para una mayor penetración y la oportunidad de cumplir su plan.

Por ejemplo, el grupo Cobalt se infiltró en redes bancarias, atacó a integradores de sistemas y otros proveedores de servicios, y los piratas informáticos por parte de desarrolladores de billeteras electrónicas y terminales de pago le permitieron robar dinero automáticamente a través de pasarelas de pago utilizando su propio programa.

Ataque de riego

Watering Hole, o Watering Hole, es una de las tácticas favoritas de Lázaro. El significado del ataque es comprometer los sitios legales que a menudo visitan los empleados de la organización objetivo. Por ejemplo, para los empleados del banco, dichos recursos serían el sitio web del banco central, los ministerios de finanzas y los portales de la industria. Después de piratear, las herramientas de pirateo se colocan en el sitio bajo la apariencia de contenido útil. Los visitantes descargan estos programas en sus computadoras y brindan a los atacantes acceso a la red.

Entre los sitios pirateados de Lazarus se encuentran la Comisión de Supervisión Financiera de Polonia , el Banco de la República Oriental del Uruguay y la Comisión Nacional de Banca y Acciones de México . Los hackers usaron vulnerabilidades en Liferay y JBoss para hackear sitios.

SO y vulnerabilidades de hardware de red

La explotación de las vulnerabilidades de los sistemas operativos y los equipos de red ofrece ventajas significativas, pero esto requiere conocimientos y habilidades profesionales. El uso de kits de exploits sin una comprensión profunda de los principios de su trabajo anulará rápidamente el éxito del ataque: piratearon un hack, pero no pudieron hacer nada.

Los ataques de vulnerabilidad son comunes para MoneyTaker, Lazarus y Pawn Storm. Los dos primeros grupos utilizan principalmente los errores conocidos en el firmware del equipo de red para introducir su servidor en la red de la empresa a través de una VPN, a través de la cual llevan a cabo otras acciones. Pero en el arsenal de Pawn Storm, se descubren vulnerabilidades peligrosas de día cero, para las cuales no hay parches; busca sistemas con vulnerabilidades conocidas.

Ataques DNS

Esta es una familia de ataques que registramos solo con Pawn Storm. Otros grupos conocidos generalmente se limitan al phishing y a dos o tres métodos alternativos.

Pawn Storm utiliza varios niveles de compromiso de DNS. Por ejemplo, hay casos en los que robaron las credenciales de la compañía del panel de control de DNS y cambiaron los servidores MX a los suyos, obteniendo acceso total a la correspondencia. El servidor malicioso recibió y transmitió todo el correo a la empresa objetivo, dejando copias en su poder, y los piratas informáticos podrían infiltrarse en cualquier cadena en cualquier momento y lograr el resultado deseado, sin ser detectados.

Otra forma de comprometer era tomar el control completo de los servidores del registrador DNS. En muchos países solo hay un número muy pequeño de registradores, por lo que la toma de control sobre el mayor de ellos proporcionó posibilidades casi infinitas para introducir a la mayoría de las organizaciones públicas y privadas en el intercambio de información, el phishing y otros tipos de influencia.

recomendaciones

El phishing no solo es popular entre los script kiddis que alquilan acceso a servicios maliciosos como Phishing-as-Service o Extortion-as-Service. La efectividad y el bajo costo relativo de este método lo convirtieron en el principal y, a veces, la única arma de los grupos más peligrosos. La gran cantidad de opciones para usarlo está en manos de los delincuentes: antes de comprometer la correspondencia comercial, la mayoría de las soluciones de protección pasan y la credulidad y la distracción de los usuarios serán un apoyo confiable para ataques fraudulentos durante mucho tiempo.
Sin duda, proteger los sistemas informáticos y los equipos de red es una tarea importante junto con la instalación oportuna de actualizaciones de seguridad, pero teniendo en cuenta los cuadros de tácticas de delitos cibernéticos, las medidas relacionadas con la protección contra el factor humano son lo primero.

Las credenciales interceptadas del correo de una persona mayor permitirán a los delincuentes robar información confidencial de especial importancia y luego usar este correo e información para realizar un ataque de varios pasos. Mientras tanto, el entrenamiento banal de habilidades y el uso de MFA privaría a los piratas informáticos de esta oportunidad.

Sin embargo, los sistemas de defensa tampoco se detienen, detectando acciones maliciosas utilizando inteligencia artificial, aprendizaje profundo y redes neuronales. Muchas compañías están desarrollando esta clase, y también ofrecemos a nuestros clientes protección contra ataques BEC sofisticados con la ayuda de inteligencia artificial especialmente capacitada. Su uso junto con la capacitación de los empleados en habilidades de comportamiento seguro les permitirá resistir con éxito los ataques cibernéticos incluso de los grupos más capacitados técnicamente.