Threat Actors Flashcards
¿Cuál es la diferencia entre intención y motivación en un ataque cibernético?
🔶Threat Actors Motivations
- Intención: El objetivo específico que un actor de amenaza busca lograr.
- Motivación: La razón subyacente que impulsa al actor de amenaza a llevar a cabo el ataque.
Tipos de Motivaciones de los Actores de Amenazas
🔶Threat Actors Motivations
- Exfiltración de datos: Robar información sensible como IP, PII o secretos comerciales para vender en la dark web o usar en robo de identidad.
- Ganancia financiera: Utilizar ransomware o Troyanos bancarios para obtener dinero, ya sea mediante rescates o acceso a cuentas bancarias.
- Chantaje: Amenazar con hacer pública información sensible a cambio de pagos, generalmente en criptomonedas, mediante ransomware, doxxing o sextorsion.
- Interrupción de servicios: Causar caos o exigir rescates mediante ataques como DDoS, que sobrecargan servidores hasta que se vuelven inaccesibles.
- Creencias filosóficas/políticas: Los hacktivistas llevan a cabo ataques para promover agendas políticas o protestar contra organizaciones que consideran no éticas.
- Razones éticas: Los hackers éticos o penetration testers buscan identificar vulnerabilidades para mejorar la seguridad de las organizaciones.
- Venganza: Empleados resentidos o actores externos intentan dañar a entidades o ex-empleadores filtrando información o interrumpiendo servicios.
- Disrupción o caos: Hackers no autorizados buscan causar caos mediante la creación de malware o ataques a infraestructuras críticas.
- Espionaje: Obtener información confidencial o clasificada para obtener ventajas estratégicas, especialmente por actores patrocinados por el Estado.
- Guerra: Utilizar ciberataques como herramienta en conflictos entre países, comprometiendo infraestructuras o causando daños económicos.
¿Cuáles son los dos tipos de origen de los actores de amenazas?
🔶Atributos de los Actores de Amenazas
Amenazas Internas: Son individuos o entidades dentro de la organización que representan una amenaza para su seguridad. Estos actores pueden ser empleados descontentos, contratistas o socios comerciales que tienen acceso legítimo a los sistemas y datos de la organización, pero lo usan de manera no autorizada.
Amenazas Externas: Son individuos o grupos fuera de la organización que intentan violar las defensas de ciberseguridad. Estos actores pueden ser ciberdelincuentes, hacktivistas, competidores o actores patrocinados por el Estado. Generalmente, no tienen acceso autorizado y deben usar técnicas como malware o ingeniería social para acceder a los sistemas.
Recursos y Financiamiento - Resources & Funding
🔶Atributos de los Actores de Amenazas
La cantidad de recursos y financiamiento de los que dispone el actor de amenaza. Esto afecta la escala, frecuencia y sofisticación de sus ataques.
- Pocos recursos: Un actor que opera solo puede tener acceso a herramientas limitadas, como su propia computadora personal y conocimientos básicos. Estos actores suelen ser menos sofisticados y sus ataques son menores en escala.
- Amplios recursos: Un actor patrocinado por el estado o un grupo organizado puede tener acceso a herramientas avanzadas, un equipo de especialistas, un gran poder computacional, y un presupuesto significativo. Esto les permite realizar ataques complejos y altamente organizados.
Nivel de Sofisticación y Capacidad - Level of Sophistication & Capability
🔶Atributos de los Actores de Amenazas
El nivel de sofisticación o capacidad técnica de un actor de amenaza se refiere a su habilidad técnica, la complejidad de las herramientas que usan y su capacidad para evitar la detección.
- Bajo nivel de sofisticación: Los actores con un bajo nivel de habilidad, como los Script Kiddies, utilizan herramientas disponibles públicamente sin entender completamente cómo funcionan. Sus ataques suelen ser simples, como malware básico o phishing.
- Alto nivel de sofisticación: Los actores altamente sofisticados, como los actores patrocinados por el Estado o los grupos de Amenaza Persistente Avanzada (APT), desarrollan malware personalizado, usan exploits de día cero y emplean técnicas avanzadas de evasión. Pueden penetrar en redes bien defendidas y mantenerse dentro de ellas sin ser detectados durante largos períodos de tiempo.
¿Qué es un script kiddie?
¿Cuáles son las motivaciones principales de los atacantes no cualificados?
🔶Atacantes No Cualificados (Script Kiddies)
Un individuo que carece de conocimientos técnicos para crear sus propias herramientas de hacking y depende de scripts y programas desarrollados por otros. Su entendimiento es básico, pero aún así puede causar daño utilizando herramientas disponibles públicamente.
En lugar de atacar objetivos más complejos o de alto valor, estos actores se enfocan en objetivos fáciles y más accesibles.
Buscan reconocimiento o la emoción de causar disrupción, como defacement de sitios web o Ataques DDoS. También pueden estar motivados por la curiosidad, pero no suelen estar impulsados por ganancias financieras o ideologías políticas.
¿Qué es el hacktivismo?
Nivel de Sofisticación
¿Cuáles son algunas técnicas comunes utilizadas por los hacktivistas?
🔶Hacktivistas
El hacktivismo es el uso de ataques cibernéticos para promover causas políticas, ideológicas o sociales. Los hacktivistas no están motivados por el dinero, sino por creencias ideológicas. Buscan llamar la atención sobre causas políticas o sociales, o protestar contra gobiernos, corporaciones y entidades que consideran que infringen derechos humanos, practican la censura, causan daños ambientales o participan en otras actividades controvertidas.
Nivel de Sofisticación
Los hacktivistas pueden variar mucho en términos de habilidades técnicas. Algunos poseen habilidades avanzadas y son capaces de desarrollar exploits personalizados para atacar redes y sistemas bien defendidos.
Aunque los hacktivistas no siempre buscan ganancias económicas, sus ataques pueden ser extremadamente dañinos y, a menudo, tienen un alto nivel de sofisticación.
Tecnicas comunes
- Defacement: Modificar páginas web para transmitir mensajes de protesta.
- Ataques DDoS: Abrumar servidores para hacerlos inaccesibles.
- Doxxing: Publicar información privada para incitar acciones en la vida real.
- Filtración de datos: Robar y publicar datos confidenciales para exponer prácticas inmorales.
¿Cuáles son algunos ejemplos de grupos hacktivistas famosos?
🔶Hacktivistas
Anonymous: Conocido por ataques como la Operation Payback en 2010 contra organizaciones que luchaban contra la piratería.
LulzSec: Ganó notoriedad en 2011 con ataques a Sony, la CIA, y el FBI en su campaña 50 Days of Lulz. Aunque algunos de sus ataques estaban motivados por el caos, también expresaron motivaciones políticas, como su oposición a la censura y la vigilancia.
¿Qué son los OCGs (Organized Cybercrime Groups)?
Motivaciones
Nivel de Sofisticación
Tecnologias
🔶Organized Cybercrime Groups (OCGs)
Son entidades bien estructuradas que operan en el mundo digital, similar a como lo hace el crimen organizado en el mundo físico. Estos grupos están formados por miembros que tienen roles específicos según sus habilidades técnicas y su experiencia. Actúan a nivel global, utilizando el anonimato y fronteras internacionales para dificultar la persecución legal.
Suelen enfocarse en pequeñas y medianas empresas o individuos con alto patrimonio, que pueden tener valiosos recursos financieros o datos sensibles.
Motivacion
Aunque su motivación principal es financiera, también pueden ser contratados por otras entidades, incluidos gobiernos, para llevar a cabo ataques cibernéticos en su nombre a cambio de una compensación financiera.
Nivel de Sofisticación
Tienen altas capacidades técnicas, usando herramientas avanzadas como malware personalizado, ransomware y campañas de phishing sofisticadas. Son altamente coordinados y adaptables para eludir nuevas medidas de seguridad.
Tecnologias
Utilizan criptomonedas para transacciones anónimas, la dark web para coordinar y vender datos robados, y dispositivos de recolección celular para interceptar comunicaciones.
¿Cuáles son algunos ejemplos de OCGs famosos?
🔶Organized Cybercrime Groups (OCGs)
FIN7: Conocido por sus campañas avanzadas de phishing que atacan principalmente las industrias minorista y hotelera, engañando a empleados para que revelen credenciales o instalen malware.
Carbanak Grupo que ha robado más de 1 Billón de dólares de bancos en todo el mundo, utilizando el malware Carbanak para infiltrarse en redes bancarias, manipular sistemas financieros y hacer que los cajeros automáticos dispensen dinero de forma remota.
¿Qué son los Nation-State Actors?
Motivaciones
Nivel de Sofisticación
Tecnologias
🔶Nation-State Actors
Individuos o grupos respaldados y financiados por gobiernos para llevar a cabo operaciones cibernéticas contra otros países, organizaciones o individuos. A menudo, están integrados en agencias de inteligencia o fuerzas militares y utilizan tácticas avanzadas, como ataques de bandera falsa.
Motivacion
Sus motivaciones incluyen recopilación de inteligencia, disrupción de infraestructuras críticas, influencia en procesos políticos y ciberespionaje para robar propiedad intelectual o ganar ventaja competitiva.
Nivel de Sofisticación
Los actores patrocinados por Estados son considerados altamente sofisticados y muy peligrosos debido a sus habilidades técnicas avanzadas y sus extensos recursos. Estos actores suelen llevar a cabo operaciones cibernéticas complejas y coordinadas.
Tecnologias
Utilizan malware personalizado, exploits de día cero y llevan a cabo ataques avanzados persistentes (APT), que son prolongados y altamente dirigidos, permitiéndoles permanecer en una red sin ser detectados.
¿Qué diferencia a Corea del Norte de otros Nation-State Actors?
🔶Nation-State Actors
Además de sus objetivos políticos, Corea del Norte también busca ganancias financieras atacando bancos y exchanges de criptomonedas para financiar el régimen de Kim Jong-un debido a las sanciones internacionales.
Ejemplos de Ataques de Estados-Nación
🔶Nation-State Actors
Stuxnet (2011): Un gusano atribuido a EE. UU. e Israel que saboteó el programa nuclear de Irán, dañando centrífugas mediante vulnerabilidades de día cero y propagación por USBs.
Elección Presidencial de EE. UU. de 2016: Actores rusos lanzaron una campaña de desinformación y ataques cibernéticos para socavar la democracia y favorecer la elección de Donald Trump.
¿Qué es una amenaza interna (Insider Threat)?
Motivaciones
Nivel de Sofisticación
Tipos de Amenzas Internas
🔶Insider Threats
Una amenaza interna se refiere al riesgo potencial que presentan los individuos dentro de una organización con acceso legítimo a información y sistemas sensibles. Estas amenazas pueden ser más dañinas que los ataques externos debido al conocimiento íntimo de la infraestructura y la facilidad de acceso a recursos críticos.
Motivacion
- Ganancia financiera: Venden datos sensibles a competidores o en el mercado negro.
- Venganza: Un empleado descontento busca dañar a la organización por un despido o una mala experiencia.
- Descuidos o errores: Los empleados pueden accidentalmente comprometer la seguridad, como hacer clic en enlaces de phishing o instalar software malicioso sin saberlo.
Nivel de Sofisticación
Varía según el nivel de acceso y habilidades técnicas. Un administrador de sistemas con altos privilegios puede causar más daño, pero un empleado con acceso limitado y habilidades avanzadas puede explotar vulnerabilidades con facilidad.
Tipos de Amenzas Internas
1. Robo de datos: El insider roba información sensible para venderla o filtrarla.
2. Sabotaje: El insider busca causar daño deliberado a los sistemas de la organización.
3. Mal uso de privilegios: El empleado utiliza su acceso para cometer actos no autorizados, como instalar malware o crear puertas traseras.
4. Facilitación de ataques externos: Los insiders pueden ayudar a actores externos, instalando malware o proporcionando acceso no autorizado.
Menciona dos ejemplos de amenazas internas.
🔶Insider Threats
Edward Snowden (2013): Excontratista de la NSA que filtró información clasificada sobre programas de vigilancia global, costando miles de millones y afectando la seguridad de EE. UU.
Ataque de Twitter (2020): Dos empleados colaboraron con un atacante externo para acceder a cuentas de alto perfil como Elon Musk y Barack Obama, lanzando una estafa de Bitcoin. Este incidente subraya la importancia de controles internos sólidos.
