Los ataques multivectoriales exigen controles de seguridad en el …



Como revela un ataque identificado por Google, los equipos de seguridad deben mirar más allá de las VPN y la infraestructura de pink, a los canales donde se lleva a cabo la ingeniería social.

En los últimos días, la comunidad de ciberseguridad se ha entusiasmado con la discusión de las últimas anuncio del grupo de análisis de amenazas de Google. Google dice que ha pasado los últimos meses rastreando una nueva campaña orquestada por «una entidad respaldada por el gobierno con sede en Corea del Norte», que se cree que es el actor de amenazas conocido como Grupo Lazarus. La campaña estaba dirigida a varios investigadores de seguridad.

Hay lecciones especiales que aprender de esta campaña. Los investigadores fueron atacados de una manera compleja y multivectorial. Para hacer frente a este tipo de ataque, los equipos de seguridad y riesgo deben mirar más allá de las redes privadas virtuales y la infraestructura de crimson a los canales de comunicación donde se lleva a cabo la ingeniería social.

Disección de un ataque multivectorial
Google espera que su anuncio recuerde a la gente que «permanezca alerta cuando se relacione con personas con las que no ha interactuado anteriormente». ¿Por qué? Porque esta campaña no fue simplemente un correo electrónico falso. Este fue un ataque sofisticado, donde los actores de amenazas jugaron el juego a largo plazo con ingeniería social y un enfoque multicanal:

  • Los malos actores crearon un weblog de investigación falso. Sus esfuerzos fueron considerables, incluidas hazañas falsas y extensos artículos. También crearon varias cuentas falsas de Twitter y YouTube para ampliar su investigación ficticia.
  • A través de esta presencia en línea, los malos actores establecieron credibilidad con la comunidad de investigación de seguridad en línea.
  • Con esta credibilidad establecida, los malos actores se acercaron a investigadores de seguridad reales, sugiriendo que colaboraran. Estas comunicaciones ocurrieron en múltiples plataformas: Twitter, LinkedIn, Telegram, Discord, Keybase y correo electrónico.
  • Una vez conectados, los malos actores compartieron con los investigadores archivos del proyecto que contienen malware oculto. La URL del weblog en sí también era una amenaza, ya que instalaba un servicio malicioso en los sistemas de los visitantes.

La característica especialmente peligrosa de esta campaña es su naturaleza multivectorial. No existe un único punto de ataque o contacto. En cambio, la superficie de amenaza implicada involucra múltiples canales en la nube y aplicaciones de mensajería.

Detener los ataques de ingeniería social en su camino
Esta campaña respaldada por Corea del Norte reclutó múltiples puntos de ataque. Como mínimo: 10 cuentas de Twitter, cinco cuentas de LinkedIn, una cuenta de Telegram, casi 20 URL maliciosas.

¿Cómo pueden las organizaciones contrarrestar un asalto tan múltiple a sus investigadores? Google recomienda que «compartimente sus actividades de investigación, utilizando máquinas físicas o virtuales separadas para la navegación web general, interactuando con otros en la comunidad de investigación, aceptando archivos de terceros y su propia investigación de seguridad».

Vale la pena recordar estos pasos estándar. Pero también, los equipos de seguridad deben buscar formas de detectar las cuentas de los malos actores de manera preventiva, para que puedan detener la ingeniería social antes de que pueda comenzar. Por ejemplo, los controles de seguridad en las capas de cuentas y mensajes podrían haber marcado las cuentas de Twitter y LinkedIn que se ponen en contacto con un empleado como potencialmente sospechosas.

Esta mala detección de actores, alerta a lenguaje sospechoso, podría haber marcado las cuentas tan pronto como intentaron conectarse. Esto habría detenido la ingeniería social en seco. Además, los controles de seguridad también podrían haber detectado problemas en cualquier dominio de comando y management propiedad del atacante compartido en los mensajes. Lo más importante es que podrían haber descomprimido y examinado cualquier archivo de terceros. antes de un empleado podría abrirlos.

Estos poderes de detección y visibilidad habrían protegido a los investigadores seleccionados. Finalmente, no es necesario que esta supervisión viole la privacidad de los datos de los empleados. La tecnología adecuada puede escanear las comunicaciones en busca de amenazas, incluso cuando el contenido genuine de los mensajes permanece enmascarado. La mejor práctica es marcar los riesgos mientras el contenido permanece oculto.

Un enfoque multivectorial
Hace unas semanas, mi socio comercial, Jim Zuffoletti, predijo que Los ataques de ingeniería social se volverían más sofisticados. en 2021. Son efectivos y muchas organizaciones no están equipadas para lidiar con ellos. Los malos actores saben que los canales de chat social y móvil son invisibles para los equipos de seguridad y están apuntando a estos canales de comunicación. Por lo tanto, él dice, «los equipos de seguridad necesitan controles en las aplicaciones sociales y de chat que proporcionen visibilidad de los riesgos respetando la privacidad de los datos de los empleados».

Con las campañas multivectoriales, el riesgo radica en los canales de nube de terceros que son cada vez más fundamentales para los negocios modernos. Aquí es donde se lleva a cabo la ingeniería social. Aquí es donde los malos actores están preparando a sus objetivos.

Como presidente, director de tecnología y cofundador de SafeGuard Cyber, el señor Freire es responsable del desarrollo y la innovación continua de la plataforma empresarial de SafeGuard Cyber, que permite a los clientes empresariales globales extender la protección cibernética a las redes sociales y digitales … Ver completo Bio

Lectura recomendada:

Más información





Enlace a la noticia original