Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

La Inglaterra isabelina no tiene nada que ver con la Rusia moderna

Actualizado: jun 1

Escrito por Warren Mercer y Vitor Ventura. (blog Cisco Talos)


El panorama de amenazas está cambiando. Las organizaciones deben defenderse de un grupo de actores de amenazas en constante evolución. Durante mucho tiempo, las líneas que distinguen a los grupos de software criminal y patrocinados por el estado estuvieron bien definidas. Creemos que este ya no es el caso. En el panorama actual, hay grupos que, aunque su modus operandi (MO) es consistente con los grupos de crimeware, actúan como grupos patrocinados por el estado. Esto plantea nuevos desafíos para las organizaciones defensoras a medida que estos grupos se vuelven más prevalentes y peligrosos que, dependiendo del perfil de riesgo de la organización, pueden requerir más atención.


A la luz de los acontecimientos recientes, creemos que es hora de reconocer que se puede definir una nueva categoría, una en la que los sindicatos de ransomware disfruten de algún tipo de protección por parte de los gobiernos, aunque no sea intencionalmente. Por lo tanto, Talos propone el término "corsarios" para describir a los actores que se benefician de las decisiones gubernamentales de hacer la vista gorda ante sus actividades o de un apoyo más material, pero donde el gobierno no necesariamente ejerce un control directo sobre sus acciones. en sí mismo no disminuye la responsabilidad que estos gobiernos comparten con estos grupos protegiéndolos o simplemente permitiéndoles operar haciendo la vista gorda.


AMENAZAS RELACIONADAS CON EL ESTADO


Es fácil dividir a los actores relacionados con el estado en dos categorías principales: los que se han asociado directamente con estructuras estatales, como la Agencia de Seguridad Nacional de EE. UU., APT28, APT29, APT1, y los que, a pesar de no estar directamente asociados con un En un estado específico, existe un acuerdo común en la comunidad de seguridad de información de que se benefician de las decisiones que el estado toma para apoyarlos.


Las motivaciones del primer tipo de grupos (nivel uno), por lo general, no son monetarias y, como tales, no tienen un esquema de monetización. Suelen tener una pequeña infraestructura, que se destruye por completo una vez finaliza la campaña o queda de alguna manera expuesta. Estos son grupos que intentan hacer sus operaciones lo más sigilosas posible que no quieren llamar la atención sobre sí mismos., CCleaner o VPNFilter actúan lo más sigilosamente posible en la etapa de preparación / reconocimiento, sabiendo que el acto final probablemente los expondrá, con la esperanza de ejecutar tanto como sea posible su agenda antes de que ocurra la exposición.


Como ejemplo de la segunda categoría (nivel dos), mire Gamaredon (o Armageddon o Arma, como algunos los conocen). El grupo es complejo, se originó en Ucrania a raíz de la anexión de Crimea por parte de Rusia. No forman parte del aparato de inteligencia tradicional ruso, pero tenemos una gran confianza en que gran parte de la inteligencia que recopilan de sus operaciones se transfiere a los intereses rusos. En este caso, tenemos una amenaza relacionada con el estado que no es un elemento del estado patrocinador, pero recibe apoyo activo y dirección de ese patrocinador estatal.


Gamaredon no identifica a sus víctimas, todo lo contrario, apunta a grandes franjas de usuarios. Su infraestructura es enorme, tienen cientos de dominios, y no cambian significativamente su malware o infraestructura a pesar de estar expuestos. Sin embargo, comparten el aspecto de no disuasión de los grupos de primer nivel.


Hay otras dos categorías que están relacionadas con el estado; Grupos "mercenarios" que un estado puede contratar para realizar acciones específicas y grupos "corsarios" que detallamos en el siguiente apartado. Los grupos de mercenarios a menudo pueden caer en el primer nivel de categorías relacionadas con el estado según la campaña exacta que se les pide que lleven a cabo, por lo que no los detallaremos aquí.


LOS GRUPOS "PRIVATEER"


Los grupos de corsarios no están patrocinados directamente por un estado y están motivados económicamente, pero se benefician de la protección directa o indirecta de ese estado. Esto se manifiesta con frecuencia como una falta de acción policial, incluso cuando otros países lo solicitan a través de los canales normales. El estado protector no recibe un beneficio directo de estos grupos, pero está protegido de sus actividades, que con frecuencia apuntan a los adversarios geopolíticos del estado protector. También existe la posibilidad de que el estado protector pueda presionar al grupo de corsarios para que participe en acciones específicas o se dirija a entidades específicas.


El único otro tipo de actores que tienen este nivel de protección son los que operan directamente en una estructura estatal. Por ejemplo, los actores que el Departamento de Justicia de EE. UU. Acusó de un ciberataque a la agencia de informes crediticios Equifax tenían conexiones directas con el 54º Instituto de Investigación del Ejército Popular de Liberación de China . El Departamento de Justicia ha llevado a cabo otras acusaciones contra actores patrocinados por el estado, incluido el Grupo Lazarus, un ciudadano norcoreano involucrado en el incidente de WanaCry y los seis oficiales de GRU involucrados en varios casos de piratería informática.


DarkSide podría considerarse uno de esos grupos "privados". Esta familia de ransomware, que recientemente fue responsable de atacar un importante oleoducto en los EE. UU., comprueba la configuración del teclado del objetivo para evitar a cualquier usuario cuyo teclado esté en cirílico. Lockbit también podría considerarse un grupo privado, dado que un operador de ese grupo le dijo a Talos que no apuntaría a Rusia ni a ningún país aliado de Rusia .


Vale la pena señalar que, históricamente, ningún operador de ransomware ha sido detenido en ninguno de los países de la Comunidad Independiente (CEI) mientras no hayan apuntado a sus estados miembros. Sin embargo, si un grupo de ransomware se dirige a alguno de estos países, será investigado y eliminado. Un ejemplo de uno de esos grupos es Lurk, que estaba vinculado al kit de explotación Angler . El operador detrás de Lurk fue arrestado en Rusia luego de que el grupo atacara a los bancos rusos.


Estos grupos suelen caer en la categoría de crimeware, sin embargo, proponemos que no son simples bandas de crimeware. Estos son grupos altamente organizados, con una plétora de servicios de apoyo que brindan a sus afiliados. Sus operaciones y la falta de disuasión de su estado de origen los convierte en una amenaza persistente para la comunidad. Esto no se puede decir de los spammers típicos o ladrones de contraseñas comunes. Los "corsarios" están en el espacio de la "caza mayor", exfiltrando cientos de gigabytes de información. Esto indica un cierto nivel de sofisticación. Aunque no se comparan con los grupos patrocinados por el estado de primer nivel, los grupos "privados" son mucho más sofisticados que los grupos de software delictivo habituales y deben identificarse como tales.


CRITERIOS DE GRUPOS "CORSARIOS"


Dado que estamos introduciendo una nueva clasificación, nos pareció apropiado delinear qué hace que un grupo sea un "corsario" a los ojos de Talos. Hemos decidido los siguientes criterios para identificar cuándo un grupo debe considerarse corsario. Puede haber otras consideraciones, pero como mínimo, creemos que se deben cumplir las siguientes:


  1. Benefíciese, directa o indirectamente, de la protección y / o tolerancia estatales.

  2. El país no coopera con las fuerzas del orden, los servicios de inteligencia extranjeros ni ofrece extradición.

  3. Victimología de la caza mayor, es decir; grandes empresas u organizaciones gubernamentales.

  4. Debe tener una organización sofisticada, es decir, tiene afiliados o terceros involucrados.

  5. Potencial de perturbación social.



Somos conscientes de que es posible que algunos grupos no marquen específicamente todas las casillas aquí y existe la posibilidad de que este criterio cambie. El grupo corsario debe seguir siendo exclusivo de actores que cumplan con los criterios antes mencionados.


CONCLUSIONES


El término "APT" tiene un significado amplio que se utiliza en términos más laxos hoy en día. Este término a menudo incluye a los grupos patrocinados por el estado. Sin embargo, creemos que el patrocinio estatal debe denominarse relacionado con el estado y dividirse en tres categorías distintas: las que trabajan en nombre de organizaciones estatales específicas, las que están estrechamente relacionadas con los actores estatales, pero sin una afiliación clara a la organización y sin una aparente motivación financiera. y, finalmente, las que no están directamente relacionadas con las organizaciones estatales pero se benefician de la protección estatal, directa o indirectamente.


El primer nivel incluye actores como Lazarus Group (también conocido como APT38), un actor patrocinado por el estado que lleva a cabo ataques para obtener ganancias directas para un estado-nación. El segundo nivel incluye grupos como Gamaredon y PROMETHIUM. Estos grupos no parecen estar directamente vinculados a organizaciones estatales, pero se cree que trabajan para los estados. Estos no comparten el mismo nivel de sofisticación que los APT principales, pero no están motivados principalmente por razones financieras.


Finalmente, tenemos grupos como el sindicato DarkSide a los que nos referimos como "corsarios". Los corsarios se benefician de un cierto nivel de protección o aceptación estatal sin ningún vínculo real con los estados. Estos grupos de corsarios son cada vez más frecuentes y probablemente cambiarán significativamente el panorama de amenazas en los próximos años.


Fuente: https://blog.talosintelligence.com/2021/05/privateer-groups.html#more

2 vistas0 comentarios

Entradas Recientes

Ver todo