Actores de Amenazas y la Motivación Detrás del Ataque

00:00:12 Brandon Witte 

Hola a todos y bienvenidos. Soy Brandon Witte. Soy el director general de Sistemas Sightline y tengo a Brian Dixon, arquitecto de seguridad en Unisys Corporation, como Co. Anfitrión de esta sesión, vamos a hablar de los actores de la amenaza y la motivación detrás de los ataques cibernéticos, y estamos encantados de tener con nosotros. 

El experto en seguridad cibernética Damien Apone, director del programa de seguridad global de Genuine Parts Company. 

Entonces, Damian, en los últimos años, hemos visto un aumento asombroso en la cantidad de ransomware y ataques cibernéticos. 

00:00:46 Damian Apone 

Sí, así que, de hecho, ya sabes. Mirando hacia atrás, sabe que las últimas estadísticas muestran que cada 39 segundos hay un nuevo ataque en algún lugar de la web. La cantidad de daño que están causando los ciberdelincuentes se ha duplicado desde 2015 de $ 3 billones. Eso es más de $ 6 billones anuales solo en daños causados ​​​​solo por ransomware. Los ataques han aumentado más del 150 % desde 2020, por lo que los ataques sin duda van en aumento en todo el mundo. 

00:01:20 Brandon Witte 

Y chicos, parece que, como dijeron, todos los días escuchamos sobre otra empresa que es víctima de algún tipo de ataque cibernético. Y Brian, parece que este problema seguirá empeorando. 

00:01:31 Brian Dixon 

Estoy completamente de acuerdo con estar en el campo de la seguridad cibernética. En los últimos años, hemos visto a clientes que intentan lidiar y tienen dificultades para lidiar con algunos de los ataques a los que se han enfrentado en los últimos años. Pero especialmente con COVID el año pasado y todavía hay personas que trabajan en centros de datos remotos que ya no están en un solo lugar. Todo tipo de ser fluido en la nube y multinube. 

Estamos viendo muchos ataques de actores de amenazas en fase avanzada que hacen que muchas de las herramientas heredadas y las cosas que los clientes han estado haciendo ya no sean realmente efectivas. Así que estamos viendo esto. 

Obviamente, esto es un gran problema, por lo que puede empeorar. 

Como dijiste, Damien, ¿quién está detrás de estos ataques en tu opinión y quiénes son realmente los actores de amenazas que intentan obtener acceso? Sí, creo que conoces la seguridad cibernética. 

00:02:11 Damian Apone 

En general, es desconcertante para muchas empresas, todavía hay mucha negación de eso. No soy realmente un objetivo. No estoy realmente. No hay ninguna amenaza para mí. Por lo general, cuando observamos el panorama de los actores de amenazas, algunos dirán que lo dividen en cinco categorías, otros en seis. 

Entonces, la cantidad de categorías que dividen parece variar, pero en resumen, para mí, son realmente tres tipos diferentes de grupos. Uno son los propios actores del estado nación y estamos familiarizados con esto como saben. 

Su objetivo es robar secretos, ¿verdad? Y su objetivo principal es la amenaza de espionaje. 

Podría ser el caos, la destrucción económica. Estas son cosas que están dirigidas por China por Rusia por Irán. 

Y, por lo tanto, están patrocinados por el estado. El segundo grupo es realmente el hacktivista, por así decirlo, o el grupo social y su objetivo principal es simplemente exponer secretos o interrumpir servicios que perciben como malvados. No necesariamente se dirigen a empresas en particular, pero en realidad son más esos creyentes marginales donde se filtra una empresa como una wiki. 

Por ejemplo, cierto, están tratando de revelar la maldad en las empresas. 

Sony Pictures fue otro de esos casos en los que intentaban hacer eso, los activistas intentaban influir. Y luego realmente el tercer grupo, que es el grupo más grande, son los mismos ciberdelincuentes. 

Y realmente estos son los que escuchamos una y otra vez. Estos son los que están liderando los ataques de ransomware. Las violaciones de datos y cosas así, porque realmente para ellos todo se trata de dinero y hay muchas formas diferentes de monetizar un ataque. Pero esos son principalmente los tres que vemos en la industria hoy. 

00:04:10 Brian Dixon 

No, gracias por eso. Eso es muy interesante y me gusta pensar que soy bastante inteligente cuando se trata de entender la tecnología y el software, y especialmente la seguridad. Pero incluso me desconcierta, ¿cómo aprenden estas organizaciones y estas personas cómo hacer y crear estos exploits y realmente ingresar a las empresas y extraer datos y hacer lo que hacen? 

00:04:30 Damian Apone 

Bueno, es realmente interesante que algunas de estas empresas, algunas de. Estos individuos que lo hacen. Empiezan muy jóvenes y creo que fue Twitter. 

Hubo un hackeo de Twitter hace un par de años en Florida y el caballero que lo hizo tenía 17 años, ¿verdad? Entonces, en algunos casos, los jóvenes, los más jóvenes se están interesando en esto, en algunos casos, con los estados nacionales, tienen un programa completo dedicado a producirlos. Incluso en algunos de los ciberdelincuentes. Algo de lo que hacen no es demasiado sofisticado. 

La estafa del Príncipe de Nigeria, por ejemplo. 

Hay un montón de gente y la gente sigue cayendo en la estafa del príncipe nigeriano. Hasta el día de hoy, cualquiera puede escribir un correo electrónico realmente malo, que son correos electrónicos realmente malos. Y sabes que pueden inyectar el malware. 

Lo que estamos viendo es un aumento del ransomware o de la ciberdelincuencia como servicio. Así que hablar de actores de amenazas es importante.  

Entonces, si puede hacer partes de la exfiltración completa, pero tal vez no otras partes, también puede comprar la habilidad de otra persona. Ya sabes, si no, saber escalar privilegios, por ejemplo. Puedes comprarlo como un servicio en la dark web. Entonces la capacidad en el hecho de que han creado servicios en torno a eso es realmente, realmente aterrador. Entonces, casi cualquier persona que realmente quisiera ser un ciberdelincuente tiene esa capacidad hoy en día con solo pagar una parte de lo que obtiene por su servicio. 

00:05:56 Brandon Witte 

Eso es realmente interesante, porque si son capaces de hacer esto y tan fácilmente encuentran estos ataques para implementar, ¿qué no nos lo hace más fácil? ¿O no debería ser fácil atraparlos? ¿O los que están haciendo que estas cosas estén disponibles? 

00:06:15 Damian Apone 

Sí, esa es una gran pregunta, y es un gran punto. 

Entonces, lo interesante cuando comenzamos a hablar específicamente de ransomware como ejemplo, las familias de ransomware más activas que existen, los lados oscuros del mundo y algunos de los otros. Puedes salir en línea. Los principales ataques de ransomware de Google 2021 analizan cuáles son sus herramientas, técnicas y procedimientos. Lo llaman MTTP. Hay una organización llamada Mitre Emitree que básicamente lo mapea, por lo que tenemos el libro de jugadas para los malos de cómo ejecutan sus ataques. 

Simplemente lo estamos ignorando, y mucho de lo que estamos viendo. 

¿Es posible reducir estas amenazas? 

Absolutamente, puede serlo, y la otra buena noticia es que gran parte está disponible públicamente, por lo que sabemos cuáles son las vulnerabilidades más explotadas. Sabemos los métodos que son, que están proliferando ransomware en una empresa. La información está allí, creo. Solo tenemos que escuchar y buscarlo. 

00:07:19 Brian Dixon 

¿Qué, en su opinión, qué cree que pueden hacer las empresas para ayudar a protegerse mejor, no solo de un ataque, sino de un ataque exitoso? 

00:07:28 Damian Apone 

Sí, creo que lo que más a menudo sabes es lo fundamental, ¿verdad? Primero haga lo básico y luego, a veces, sabe que tengo preguntas sobre todos estos ataques realmente complejos y la verdad es que los ataques no son complejos, realmente no lo son. 

Y como dije, puedes conectarte y la mayoría de los ataques siguen las mismas vulnerabilidades. Están explotando las mismas vulnerabilidades que están explotando. 

Los mismos, ya sabes, errores de configuración, por lo que no es realmente complejo. 

Simplemente no hacemos lo básico excepcionalmente bien, así que creo que si nos alineamos con el marco de ataque menor nuevamente, estará disponible públicamente, es el libro de jugadas de los malos. 

Pero asegúrate de que estás haciendo lo básico. 

Cosas como que conoce su vulnerabilidad, escaneo y aplicación de parches que sabe hoy, sabe que el tiempo promedio de aplicación de parches puede estar entre 60 y 150 días y sabe que suena bien, pero eso es solo desde el momento en que los parches están disponibles. Son casi seis meses, por lo que hay muchos casos en los que hoy en día encontrarás empresas que todavía no tienen Petya. ¿Sabes hacer eso? ¿Higiene básica? Deshacerse de su final de vida, asegurándose de que sabe que tiene la segmentación en su lugar. Que es donde estamos aprovechando Unisys específicamente hoy en día, ya sabes, cuanto más le dificultas a los malos obtener lo que quieren. Cuanto menos van a tratar contigo, más difícil lo haces. 

Asegurándose de tener buenas contraseñas asegurándose de que puede escalar los privilegios que no tiene las vulnerabilidades para que exploten. 

La otra gran área realmente clave es el correo electrónico. No pases por alto. Correo electrónico correcto, puede causar muchas de estas cosas. El correo electrónico es un objetivo enorme para los actores de amenazas.

00:09:16 Brian Dixon 

¿Cómo entra la atacante? 

00:09:18 Damian Apone 

Correcto, los actores de la amenaza y los atacantes suelen entrar a través del correo electrónico, ya sea un correo electrónico de phishing o un correo electrónico de negocios, compromiso, y el correo electrónico es responsable de alrededor de 94% de todo el malware que se despliega en una organización. Una vez que se introduce el malware, los malos se lanzan a la carrera y, sinceramente, no tienen un calendario. Son excepcionalmente pacientes. Uhm, se sentarán allí mientras no sean detectados por el tiempo que quieran. Creo que el tiempo medio de permanencia ahora está bajando, lo que es realmente una buena noticia. Desde una perspectiva media, pero el tiempo medio de permanencia puede oscilar entre 49 y 150 días. Así que lo entiendo. 

Si puedo vivir en su entorno durante un máximo de seis meses, y no está parcheando hasta seis meses después. Hay muchas cosas malas que se pueden hacer, haciendo lo básico asegurándose de estar alineado y entendiendo cómo te van a atacar y luego preparar tus defensas para saber que si hay este ataque en particular. escalar privilegios. 

¿Qué puedo hacer para evitar que eso suceda y luego hacer eso? Ese es el consejo más práctico para prevenir algo de eso. Yo diría que. La seguridad o el cumplimiento definitivamente no son una solución aquí. Sé que hay mucha gente. Sabes rascándose la cabeza. O preocuparse por Biden. Seguridad Regulaciones de seguridad cibernética recién aprobadas. Uhm, lo que diría es que si va a cumplir, sabe que el cumplimiento es igual a los requisitos mínimos. Muchas veces es la marca la casilla si si haces lo correcto desde una perspectiva de seguridad, obtendrás ese cumplimiento como resultado final, así que no me centraría en cómo cumplo con la regulación, tanto como lo que necesita proteger, porque realmente, dependiendo del atacante y la naturaleza. 

Lo que veo en mi empresa, si lo he experimentado en mi empresa, es que no soy una amenaza. Sabes, no hay nadie que sea una amenaza para nosotros. No tengo lo que quieren. Eso no es cierto. Nadie querría atacarme. Eso tampoco es cierto. 

Entonces, la forma en que eligen sus objetivos llega a ser muy, muy interesante, ¿verdad? 

Y depende del actor de la amenaza. 

Y a veces no es un ataque directo contra ti. Correcto, a veces usted es la mula para ir a otro lugar a la empresa de HVAC que se aprovechó para llegar al objetivo, por ejemplo. Pero entendiendo por qué atacan, para que sepas, los estados nacionales buscan secretos gubernamentales. 

Ellos están allí para crear caos de nuevo. 

Ellos están allí para crear caos de nuevo. 

Pero el Estado-nación, ¿sabes a quién se dirigen estos actores de amenazas? Se dirigen tanto a empresas como a organizaciones gubernamentales. Yo no soy una organización gubernamental, no, pero ¿hacemos negocios con el gobierno? 

¿Estamos tomando una postura sobre algo y creo que saben, hemos visto que durante el verano pasado, con muchos problemas sociales que surgieron aquí en los Estados Unidos, ciertas empresas que pueden oponerse a esas creencias sociales están siendo atacadas y entonces realmente gano dinero? 

¿Soy percibido como rico en efectivo o en datos? 

Para mí, trabajo en una empresa Fortune 200. Eso es mucho dinero que ganamos, por lo que los malos nos miran como un objetivo y dicen que tienes mucho dinero. Es posible que no tenga los datos, pero si sienten que pueden sacarnos el dinero de una forma u otra, ya sea a través de ransomware o a través de una violación de datos, entonces esa es su motivación para atacar, y saben que lo interesante es que algunos las empresas se enfrentan a una amenaza de las tres categorías. Y puede que no. 

Lo realmente interesante del incidente del oleoducto colonial fue el lado oscuro. 

El grupo de ransomware que atacó el oleoducto Colonial después de que sucediera. Fueron muy, muy rápidos en señalar. Oye, esto no tiene motivaciones políticas. Esta no es una declaración política. Todo lo que queremos es el dinero, ¿verdad? Porque son una clave. Componente de la infraestructura que conoces, golpea lo mismo, ¿verdad? Son un componente clave para la infraestructura en términos de un empaque de carne. Solo empacamos carne. ¿Por qué alguien querría atacarnos? Porque se percibía que tenían mucho dinero y pagarían el alquiler. 

Desafortunadamente, también puede ser interesante, ya que hemos visto otros eventos, especialmente en torno a la infraestructura crítica, que no estaban necesariamente relacionados con la cibernética. Pero debería causar alarma y preocupación que la gente adecuada pueda recordar a principios de este año en Texas cuando se cortó la red eléctrica. Correcto, eso fue. 

No necesariamente debido a un ciberataque. Pero se nota. Si pudieran hacerlo, el impacto que eso podría tener, ya sabes, simplemente violar un sistema de contabilidad en el oleoducto Colonial. 

¿Qué significa eso? ¿Qué efecto tiene eso? 

Entonces, si tiene datos que pueden monetizarse en la web oscura, si tiene o se percibe que tiene mucho dinero. O comerciar con algunos de estos. Cosas que pueden ser una amenaza en múltiples niveles, son muchas. Es una locura ver el éxito que estas personas están teniendo contra las organizaciones y el dinero que en realidad están intercambiando para reunirse allí. 

00:14:50 Brian Dixon 

Supongo que es lo último que quiero preguntar y luego se lo devolveré a Brandon. 

¿Cuál es su opinión sobre las empresas? Algunas de las filtraciones de datos y ataques recientes que hemos visto. Han pagado el rescate, ¿verdad? Así que lo han hecho en un esfuerzo por pensar que van a recuperar sus datos. ¿Ha visto alguna situación en la que hayan sido tal vez atacados nuevamente a través de ese intercambio de pago de ese rescate? 

00:15:10 Damian Apone 

Sí, hay un par de tendencias que están ocurriendo, así que la primera, como mencionaste, fue seguir los ataques y, ciertamente, estamos viendo eso. Probablemente no tan desenfrenado porque creo que la gente está aprendiendo la primera vez, si paga el rescate. Parte del ransomware, como dije, el lado oscuro, es el grupo de ransomware con el corazón. Dicen que no atacarán hospitales. No atacarán a los grupos educativos, pero no a todos ni de esa manera. No todos tienen esa moral. Algunos dirán, oye, si pagas el rescate la primera vez, te voy a atacar de nuevo, porque probablemente no hayas solucionado los problemas, así que te voy a cobrar el doble del rescate, así que vemos eso. ocurriendo. 

La otra tendencia que en realidad estamos empezando a ver en aumento en este momento es una especie de doble rescate, como lo llaman. Donde guardaré sus archivos y lo ayudaré a pagar el rescate y luego, a veces, puede obtener sus archivos sin cifrar. 

Si no, te darán la llave. Si pagas, te darán la llave para abrir. Ahora, si realmente funciona o no. Eso puede ser algo totalmente diferente con estos actores de amenazas. Pero lo que también están haciendo es que están diciendo, hey, voy a hacerlo. Tengo ransomware en tus cosas. Hemos robado tus datos, y si no me pagas este otro rescate, voy a exponerlo también, por lo que están haciendo una especie de 2 por 1, donde te están encerrando y tomando tus datos, y básicamente, ya sabes, extorsionándote. Para no filtrar el hecho de que han hecho eso. Y mucho de eso es debido a los tiempos de permanencia, porque si, si puedo vivir en el medio ambiente, son excepcionalmente paciente. 

Se sentarán allí durante meses y simplemente aprenderán su negocio, e imitarán a las personas que necesitan imitar. O proliferarán lo que quieran hacer. Uhm, hay un cierto debate sobre el tiempo de permanencia de por qué ha bajado, y creo que por qué ha bajado hay un campamento. Eso dirá. Se está reduciendo porque los actores están actuando más rápido, especialmente a la luz del ransomware, ¿verdad? Entonces, el actor de amenazas entra. No necesitan tanto tiempo para descubrir cómo bloquear todo. 

Entonces, ese tiempo de permanencia, cuánto tiempo están en mi entorno, está disminuyendo artificialmente porque están actuando antes que en el pasado. Pero sí, solo porque pague un rescate y la otra cosa clave en torno al ransomware. Muchas empresas están comprando seguros de seguridad cibernética en este momento. 

Las primas están aumentando dramáticamente 100 y 5200%. Si puede obtener la cobertura del seguro cibernético, en este momento también se está prestando mucha atención al ransomware, porque las compañías de seguros son realmente. Recibimos muchos reclamos en esa área en particular, lo que aconsejaría a las personas es verificar su póliza, verificar las condiciones de su póliza porque en algunos casos, si realmente paga el rescate, puede negar su cobertura de seguro. 

Entonces, hay muchas cosas que las empresas pueden o no hacer. Oye, solo paga el rescate y se irán. Estás configurado. Si vas a hacer eso, genial. Arréglate para que no vuelva a suceder. 

Pero también asegúrese de que, si tiene un seguro contra ransomware o un seguro cibernético, lea la política y sepa cuáles son las disposiciones sobre el ransomware. 

00:18:29 Brian Dixon 

Wow, gracias por esa información. Es muy útil saberlo. 

Volviendo a ti, Brandon. 

00:18:34 Brandon Witte 

Sí, y una última pregunta sobre esto es que alguien que ha sido comprometido y los datos han sido tomados y yo pago mi rescate, me dan mi clave. 

¿Es justo decir que también han abierto un conjunto completamente diferente de vulnerabilidades potenciales para que sepas, como dijiste, que pueden regresar de nuevo la segunda o tercera vez, incluso más fácilmente que la primera. 

00:18:59 Damian Apone 

Sí, creo que una vez que la empresa es violada muchas veces, los demás tienen sus informes de violación de datos. 

Creo que lo que pasa es después de la contención, ¿lo hicimos? Ahí es cuando el retorcimiento de manos entra en los dientes, rechinar, entrar en su lugar. 

¿Cómo lo consiguieron? 

Es importante revisar ese pago para ser honesto, decir bien, ¿cómo entraron? ¿Cómo se podría haber probado esto? Nuevamente, ¿cómo evitamos llegar allí, verdad? 

Hagamos lo básico. 

Hagamos esas responsabilidades centrales de parchear, escanear y arreglar. Cuanto más de eso haces, eso quita mucho del 80%. Realmente, si solo parchea las vulnerabilidades, si tiene buenos controles de correo electrónico en términos de bloqueo de phishing, cuantas más oportunidades pueda quitarle al malo, mejor estará, y creo que en retrospectiva ese lunes por la mañana mariscal de campo de gosh, ¿cómo sucedió esto? Sabes que es casi mejor hacer eso ahora y simularlo a través de una mesa. Y oye, fallamos en la parte superior de la mesa, pero está bien. ¿Qué podemos hacer para protegerlo mejor? Resaltará cosas. Resaltará muchas cosas. Que quizás tienes mucha deuda técnica, muchas empresas tienen deuda técnica. Pero la otra cosa aquí es que quiero resaltar que no se trata solo de la tecnología. Y realmente para ser realmente protector desde una perspectiva de seguridad, no solo mire, ¿arreglé una vulnerabilidad o por qué tenemos un sistema antiguo? Se trata de personas, procesos y tecnología. 

¿Tengo las personas adecuadas? ¿Están mirando las cosas correctas, porque el ser humano configura la tecnología, por lo que tal vez no configuramos algo correctamente? ¿Cuento con los procesos correctos para que si se encuentra algo que se nos notifica muchas veces hay mucho dinero, probablemente sea una industria de $ 300 mil millones en términos de software de seguridad cibernética, no necesariamente fallas tecnológicas? Tenemos gente. Tenemos fallas en los procesos que se han manifestado por el lado de la tecnología. Entonces, ya sabes, ¿estamos revisando las reglas del firewall? ¿Estamos revisando quién tiene acceso al sistema? 

Esas no son cosas de tecnología, eso es. Esas son personas en el proceso. Entonces creo que es importante hacer eso porque se ​​resaltará y te golpearon una vez. Cada actor hace algo diferente, por eso si sales y miras y dices. Oh, ¿cómo están pasando las cosas más comunes? Hay 567 caminos diferentes por los que pueden ir. A través de, así que no solo verifiques el único camino donde lo obtuviste. Si revisará los otros seis también, ¿verdad? Cuantas más cosas puedas preparar y saber, y si encuentras cosas. Está bien, quieres. Encuéntralo antes de que lo hagan los malos y luego arréglalo. Porque si arreglas esas cosas, solo van a decir oye, ¿sabes qué? No vale la pena mi tiempo. Voy a seguir adelante y encontrar a alguien más que no esté tan bien protegido. 

00:21:51 Brandon Witte 

Muchas gracias, chicos. Se nos ha acabado el tiempo por hoy, pero quiero dar las gracias a Damian por su gran conocimiento y experiencia en este campo. Realmente aprecio nuestra charla sobre los actores de amenazas. Gracias a todos. 

Y Brian, muchas gracias y únase a nosotros la próxima vez mientras profundizamos un poco más en lo que podemos hacer y las principales cosas que se pueden hacer para ayudar a proteger mejor a las empresas del aumento de ataques que hemos estado viendo. 

Muchas gracias.