Web clara, Web profunda y Web oscura
Los profesionales de inteligencia de amenazas dividen Internet en tres componentes principales:
- Borrar Web – Recursos web a los que se puede acceder a través de motores de búsqueda públicos, incluidos medios de comunicación, blogs y otras páginas y sitios.
- Red profunda – Sitios web y foros no indexados por los motores de búsqueda. Por ejemplo, correo web, banca en línea, intranets corporativas, jardines amurallados, etc. Algunos foros de hackers existen en la Deep Web y requieren credenciales para acceder a ellos.
- Red oscura – Fuentes web que requieren un software específico para acceder. Estas fuentes son anónimas y cerradas, e incluyen grupos de Telegram y foros solo por invitación. La Dark Web contiene Tor, P2P, foros de hackers, mercados criminales y más.
Según Etay Maor, estratega jefe de seguridad de Redes Cato“Hemos visto un cambio en la forma en que los delincuentes se comunican y realizan sus actividades, pasando de la parte superior del glaciar a sus partes más bajas. Las partes inferiores ofrecen más seguridad. »
Enfoque: ¿Qué es Tor?
Tor es una red gratuita, basada en código abierto, que permite la comunicación anónima. Aunque Tor fue desarrollado originalmente por el Laboratorio de Investigación Naval de los Estados Unidos, se ha convertido en una solución cada vez más popular para actividades ilegales.
Estas actividades realizadas en Clear Web pueden dar lugar a vigilancia policial y ayudar a localizar al delincuente. Pero a través de Tor, la comunicación se cifra en tres capas que se eliminan en cada salto de nodo hasta que se cierra la red. La supervisión policial de Tor no verá la dirección IP del delincuente, sino el nodo de salida de Tor, lo que hará más difícil rastrear hasta el delincuente original.
Arquitectura de comunicación Tor:
Etay Maor añade: “En la década de 2000, una alineación celestial de las capacidades digitales impulsó los esfuerzos criminales. Primero, apareció la Dark Web. A continuación, servicios ocultos y seguros a través de Tor. Finalmente, las criptomonedas han permitido transacciones seguras. »
Servicios criminales disponibles en la Dark Web
A continuación se muestran algunos ejemplos de servicios que estuvieron disponibles en la web oscura en el pasado. Hoy en día, muchos de ellos han sido eliminados. Los delincuentes ahora están recurriendo a la plataforma de mensajería Telegram debido a sus características de privacidad y seguridad.
Ejemplos incluyen:
Venta de drogas:
Servicios de identidad falsa:
Mercado para investigación de proveedores, incluida una advertencia sobre intentos de phishing:
¿Cómo se gestionan los foros criminales? Crear confianza en un entorno poco confiable
Los piratas informáticos intentan explotar las vulnerabilidades e ingresar a los sistemas para obtener ganancias. Como cualquier otro ecosistema empresarial, utilizan foros online para comprar y vender servicios de hacking. Sin embargo, estos foros deben crear un clima de confianza entre sus miembros, mientras que ellos mismos se basan en el crimen.
En términos generales, estos foros se diseñaron inicialmente de la siguiente manera:
- Administrador – Moderar el foro
- Depósito – Facilitar los pagos entre miembros.
- Lista negra – Un árbitro para resolver cuestiones como pagos y calidad del servicio.
- Soporte del foro – Diversas formas de asistencia para fomentar la participación comunitaria.
- Moderadores – Líderes de grupo para diferentes materias.
- Proveedores verificados – Vendedores que han sido vinculados, a diferencia de algunos vendedores que son estafadores.
- Miembros habituales del foro – Los miembros del grupo. Fueron verificados antes de que se les permitiera ingresar al foro para filtrar a los estafadores, las fuerzas del orden y otros miembros irrelevantes o riesgosos.
El camino desde la infección por malware hasta la filtración de datos corporativos en la Dark Web
Veamos cómo se representan las diferentes etapas de ataque en la Dark Web, a través de un ejemplo de malware utilizado para robar información con fines de ransomware:
Fases previas al incidente:
1. Recopilación de datos – Los actores de amenazas ejecutan campañas globales de malware para robar información y roban registros de credenciales y huellas digitales de dispositivos comprometidos.
2. Proveedores de datos – Los actores de amenazas proporcionan datos a los mercados de la Dark Web que se especializan en credenciales de dispositivos y huellas digitales de computadoras infectadas con malware.
3. Oferta fresca – Los registros están disponibles para su compra en Dark Web Marketplace. El precio de un periódico generalmente oscila entre unos pocos dólares y 20 dólares.
Fases del incidente activo:
4. Compra – Un actor malicioso especializado en el acceso inicial a la red compra los registros y se infiltra en la red para escalar el acceso. A menudo, la información adquirida incluye más que identificadores. Estos incluyen sesiones de cookies, huellas digitales del dispositivo, etc. Esto ayuda a imitar el comportamiento de la víctima para eludir mecanismos de seguridad como la autenticación multifactor, lo que hace que los ataques sean más difíciles de detectar.
5. Subastas – El acceso se subasta en un foro de la Dark Web y lo compra un grupo de amenazas calificado.
Etay Maor señala: “Las subastas pueden realizarse como una competencia o “Flash”, lo que significa que un mal actor puede comprar inmediatamente sin competencia. Los grupos de amenazas graves, especialmente si están respaldados por estados nacionales o son grandes bandas criminales, pueden utilizar esta opción para invertir en sus negocios. »
6. Extorsión – El grupo ejecuta el ataque colocando Secuestro de datos en la organización y extorsionarla.
Este viaje destaca las diferentes áreas de especialización en el ecosistema criminal. Por lo tanto, un enfoque de múltiples capas impulsado por la operacionalización de datos de amenazas puede alertar y potencialmente prevenir incidentes futuros.
El papel de HUMINT
Las soluciones automatizadas son esenciales para combatir el cibercrimen, pero para comprender plenamente este ámbito también es necesaria la inteligencia humana (HUMINT). Se trata de agentes de delitos cibernéticos, agentes encargados de hacer cumplir la ley que inician sesión en foros y actúan como actores comerciales. El compromiso es un arte y también debe ser un ARTE: procesable, confiable y rápido.
Veamos algunos ejemplos de foros que siguen los agentes de delitos cibernéticos y cómo responden.
En este ejemplo, un atacante vende credenciales de VPN:
El agente de cibercrimen intentará intervenir y comprender a qué VPN o cliente pertenece.
En otro ejemplo, un atacante vende acceso a Citrix a un proveedor de servicios y soluciones de infraestructura de TI en el Reino Unido.
Un agente de delitos cibernéticos puede hacerse pasar por un comprador potencial y solicitar muestras. Dado que el vendedor actúa desde una perspectiva económica y puede que no se encuentre en una buena situación financiera (es de países de la antigua Unión Soviética), estará dispuesto a enviar muestras para promover la venta.
Protección contra ataques a la red
La Dark Web funciona como un ecosistema económico, con compradores, vendedores, oferta y demanda. Por lo tanto, una protección eficaz contra ataques a la red requiere un enfoque de múltiples capas en cada etapa del ataque, tanto antes del incidente como durante todo el incidente. Este enfoque incluye el uso de herramientas automatizadas, así como HUMINT, el arte de interactuar con ciberdelincuentes en línea para recopilar inteligencia imitando su modus operandi.
Para ver ejemplos más fascinantes y escuchar más detalles en los foros HUMINT y Dark Web, Mira la clase magistral completa aquí.