La Dark Web/Darknet sigue siendo un entorno para que los malos actores compartan credenciales robadas y discutan los ataques exitosos. De hecho, en las últimas semanas, se encontró expuesta información personal de lugares que van desde organizaciones educativas hasta bases de datos de votantes de los EE.UU. Aunque ha habido grandes detenciones de grupos de ciberdelincuentes en línea, los ciberdelincuentes evolucionan para evitar ser detectados.
Pero así como hay muchas cosas malas en la Dark Web, también las hay buenas, principalmente en forma de información que se puede utilizar para ayudar a proteger a las organizaciones de los ataques.
Debido a que están tan enfocados en hacer lo correcto, los investigadores a menudo pasan por alto fuentes adicionales ricas de inteligencia sobre amenazas cibernéticas que los atacantes esencialmente distribuyen mientras interactúan en línea. En otras palabras: para defender como un buen chico, tienes que pensar como un malo. Entrar en la cabeza de un atacante proporciona pistas sobre cómo y por qué operan.
Entendiendo la Darknet/Dark Web
Para propósitos generales, los términos "Dark Web" y "Darknet" son más o menos intercambiables, pero existen algunas diferencias matizadas. Cuando las personas se refieren a la Dark Web, generalmente se refieren a sitios de piratas informáticos en Internet a los que puede acceder desde un navegador web normal. Cuando la gente habla de Darknet, significa que necesita un software especial. El más común es el navegador Tor, pero también hay otros.
Sumergirse en la oscuridad
Para obtener información sobre cómo operan los piratas informáticos, es útil explorar sus pisadas. Una fuente de datos común para la inteligencia de amenazas son los foros ejecutados por atacantes y torrent/onion, generalmente en Darknet, donde los piratas informáticos a menudo discuten, compran y venden malware, ransomware y ofertas de denegación de servicio.
Por razones obvias, muchos de estos foros requieren que los investigadores pasen por una cantidad significativa de obstáculos para acceder a ellos. Algunos foros requieren algún tipo de pago; otros requieren que la gente responda por ti como un verdadero hacker. Y a veces, debe demostrar su valía demostrando su capacidad para codificar un problema de seguridad o crear software malicioso.
La mayoría de los atacantes en estos foros no solo están motivados por ganancias monetarias. También buscan algo de gloria. Quieren publicar y publicitar sus conocimientos en foros que tendrán la mayor cantidad de visitas y muchos quieren mostrar sus habilidades. Lo que suelen mostrar son ataques frecuentes dirigidos a cantidades masivas de personas y organizaciones en lugar de ataques específicos y dirigidos. Por lo tanto, las técnicas compartidas en estos foros ayudan a los defensores a comprender la cultura del atacante y cómo defenderse de los ataques frecuentes.
Tendencias actuales
Los foros de ataque permiten a los investigadores comprender qué encuentran interesante los atacantes. Entrar en la mente de un atacante no solo permite a los investigadores de amenazas anticipar los riesgos y los pasos dentro de un ataque, sino que también nos ayuda a comenzar a perfilar ciertos ciberdelincuentes. Los comportamientos de amenazas se parecen mucho a las huellas dactilares y pueden ser muy útiles para descubrir y defenderse de ciertas amenazas.
Una tendencia en estos foros de ataque que ha sido popular y ha suscitado mucha discusión durante los últimos meses es la seguridad en varias plataformas de reuniones web. La mayoría de estas discusiones no tienen intenciones maliciosas y probablemente sean personas que solo quieren comprender o discutir un tema específico. En algunos casos raros, sin embargo, está claro que cuando una aplicación recibe suficiente ruido, es porque los atacantes están comenzando a investigar vulnerabilidades o probar código.
Los investigadores de amenazas también utilizan text dumps que contienen nombres de usuario, contraseñas y otra información. Esto es a menudo lo que sucede con los datos cuando los ciberdelincuentes, o incluso las personas de su organización, han filtrado intencionalmente o inadvertidamente contraseñas u otra información de identificación personal (PII). Estos datos, por supuesto, pueden poner en riesgo a toda su organización. Como mínimo, las organizaciones deberían comprobar si se han visto atrapadas en este tipo de fugas de datos.
Volver a apilar las probabilidades
Los ciberatacantes son notoriamente oportunistas y también les gusta presumir de sus conquistas. A medida que los investigadores de amenazas se esfuerzan por adelantarse a sus adversarios, a menudo pasan por alto información clave dentro de la Dark Web y la Darknet que podría ayudarlos. El analisis de los foros y los text dumps son solo dos de las formas en que los investigadores pueden obtener información valiosa que les ayudará a proteger las redes de las que son responsables. Por esta razón, la capacitación en ciberseguridad para investigadores debe incluir métodos de acceso al oscuro mundo en línea para que los buenos puedan comprender mejor cómo operan los malos y vencerlos en su propio juego.
Otra parte clave de este ecosistema es el papel de las fuerzas del orden. Los investigadores de amenazas pueden y deben trabajar con los organismos encargados de hacer cumplir la ley para compartir información sobre amenazas de una manera fácil y accesible. Esta tiene que ser una vía de dos sentidos. La lucha contra el delito cibernético no puede resolverse unilateralmente solo por las fuerzas del orden; es una responsabilidad conjunta que requiere la confianza entre el sector público y el privado.
Pero así como hay muchas cosas malas en la Dark Web, también las hay buenas, principalmente en forma de información que se puede utilizar para ayudar a proteger a las organizaciones de los ataques.
Debido a que están tan enfocados en hacer lo correcto, los investigadores a menudo pasan por alto fuentes adicionales ricas de inteligencia sobre amenazas cibernéticas que los atacantes esencialmente distribuyen mientras interactúan en línea. En otras palabras: para defender como un buen chico, tienes que pensar como un malo. Entrar en la cabeza de un atacante proporciona pistas sobre cómo y por qué operan.
Entendiendo la Darknet/Dark Web
Para propósitos generales, los términos "Dark Web" y "Darknet" son más o menos intercambiables, pero existen algunas diferencias matizadas. Cuando las personas se refieren a la Dark Web, generalmente se refieren a sitios de piratas informáticos en Internet a los que puede acceder desde un navegador web normal. Cuando la gente habla de Darknet, significa que necesita un software especial. El más común es el navegador Tor, pero también hay otros.
Sumergirse en la oscuridad
Para obtener información sobre cómo operan los piratas informáticos, es útil explorar sus pisadas. Una fuente de datos común para la inteligencia de amenazas son los foros ejecutados por atacantes y torrent/onion, generalmente en Darknet, donde los piratas informáticos a menudo discuten, compran y venden malware, ransomware y ofertas de denegación de servicio.
Por razones obvias, muchos de estos foros requieren que los investigadores pasen por una cantidad significativa de obstáculos para acceder a ellos. Algunos foros requieren algún tipo de pago; otros requieren que la gente responda por ti como un verdadero hacker. Y a veces, debe demostrar su valía demostrando su capacidad para codificar un problema de seguridad o crear software malicioso.
La mayoría de los atacantes en estos foros no solo están motivados por ganancias monetarias. También buscan algo de gloria. Quieren publicar y publicitar sus conocimientos en foros que tendrán la mayor cantidad de visitas y muchos quieren mostrar sus habilidades. Lo que suelen mostrar son ataques frecuentes dirigidos a cantidades masivas de personas y organizaciones en lugar de ataques específicos y dirigidos. Por lo tanto, las técnicas compartidas en estos foros ayudan a los defensores a comprender la cultura del atacante y cómo defenderse de los ataques frecuentes.
Tendencias actuales
Los foros de ataque permiten a los investigadores comprender qué encuentran interesante los atacantes. Entrar en la mente de un atacante no solo permite a los investigadores de amenazas anticipar los riesgos y los pasos dentro de un ataque, sino que también nos ayuda a comenzar a perfilar ciertos ciberdelincuentes. Los comportamientos de amenazas se parecen mucho a las huellas dactilares y pueden ser muy útiles para descubrir y defenderse de ciertas amenazas.
Una tendencia en estos foros de ataque que ha sido popular y ha suscitado mucha discusión durante los últimos meses es la seguridad en varias plataformas de reuniones web. La mayoría de estas discusiones no tienen intenciones maliciosas y probablemente sean personas que solo quieren comprender o discutir un tema específico. En algunos casos raros, sin embargo, está claro que cuando una aplicación recibe suficiente ruido, es porque los atacantes están comenzando a investigar vulnerabilidades o probar código.
Los investigadores de amenazas también utilizan text dumps que contienen nombres de usuario, contraseñas y otra información. Esto es a menudo lo que sucede con los datos cuando los ciberdelincuentes, o incluso las personas de su organización, han filtrado intencionalmente o inadvertidamente contraseñas u otra información de identificación personal (PII). Estos datos, por supuesto, pueden poner en riesgo a toda su organización. Como mínimo, las organizaciones deberían comprobar si se han visto atrapadas en este tipo de fugas de datos.
Volver a apilar las probabilidades
Los ciberatacantes son notoriamente oportunistas y también les gusta presumir de sus conquistas. A medida que los investigadores de amenazas se esfuerzan por adelantarse a sus adversarios, a menudo pasan por alto información clave dentro de la Dark Web y la Darknet que podría ayudarlos. El analisis de los foros y los text dumps son solo dos de las formas en que los investigadores pueden obtener información valiosa que les ayudará a proteger las redes de las que son responsables. Por esta razón, la capacitación en ciberseguridad para investigadores debe incluir métodos de acceso al oscuro mundo en línea para que los buenos puedan comprender mejor cómo operan los malos y vencerlos en su propio juego.
Otra parte clave de este ecosistema es el papel de las fuerzas del orden. Los investigadores de amenazas pueden y deben trabajar con los organismos encargados de hacer cumplir la ley para compartir información sobre amenazas de una manera fácil y accesible. Esta tiene que ser una vía de dos sentidos. La lucha contra el delito cibernético no puede resolverse unilateralmente solo por las fuerzas del orden; es una responsabilidad conjunta que requiere la confianza entre el sector público y el privado.
Artículo original en: https://threatpost.com/dark-web-security-researchers-bad-guys/161172/
Comentarios
Publicar un comentario