Para muchas empresas, la “inteligencia de amenazas” hace referencia exclusivamente a los datos de los indicadores de compromiso y la información sobre las herramientas de los ciberdelincuentes. Pero lo cierto es que la inteligencia de amenazas implica muchos más conocimientos sobre los actores de las amenazas, incluido el rastreo de su actividad en la red. A veces, esta información te permite no solo hacerte una idea de los métodos del delincuente y sus tácticas, sino también evitar el cibercrimen. Un ejemplo muy reciente de esto puede ser el caso del ataque a un banco central de un país latinoamericano.
Qué ha pasado
Mientras estudiaban la actividad cibercriminal, nuestros expertos descubrieron que un grupo había conseguido acceder a la red del banco. De inmediato, los investigadores notificaron a la víctima y contactaron con la Interpol, junto con quien llevaron a cabo una investigación profunda sobre el incidente. Como resultado, consiguieron eliminar las vulnerabilidades en la infraestructura de la red, evitando así grandes pérdidas financieras. Por desgracia, no podemos compartir información sobre el incidente ni describir cómo consiguieron los atacantes acceder a la red del banco.
Cómo detectaron los expertos la actividad de los intrusos
No todos los ciberdelincuentes son responsables del ciclo de ataque completo: desde el estudio inicial del objetivo hasta el movimiento final (que suele ser el robo de datos o dinero o la infección con ransomware). Hay ciertos grupos que se especializan en la consecución del acceso a la infraestructura de empresas: una vez que han penetrado con éxito en la red, intentan vender el acceso a aquellos que puedan organizar un ataque en la dark web o en los foros de ciberdelincuentes. Además, también están los llamados Initial Access Brokers que compran estos accesos y los revenden a los ciberdelincuentes.
Mientras estudiaban la actividad de otros delincuentes totalmente diferentes, nuestros investigadores descubrieron que alguien estaba buscando socios para atacar el banco y cometer algún tipo de ciberfraude. Compartían cierta información como una prueba de acceso a la infraestructura del banco, lo que ayudó a nuestros expertos a identificar a la víctima y evitar el ataque.
¿Cómo puede ayudar la inteligencia de amenazas a una empresa?
En este caso, nuestros expertos no estaban buscando manifestaciones de un ataque a un banco en particular. De hecho, este banco ni siquiera era nuestro cliente. No obstante, nuestras herramientas te permiten rastrear las amenazas hacia una organización en concreto. El portfolio de nuestro Kaspersky Threat Intelligence incluye un servicio de análisis de huella digital que te permite crear el “retrato digital” dinámico de una organización y rastrear síntomas peligrosos mediante fuentes abiertas en la dark web y la deep web. A veces esto te ayuda a evitar ciberincidentes muy graves.
Además, para protegerte contra ataques sofisticados, te recomendamos utilizar servicios como Kaspersky Managed Detection and Response, que permite a tu equipo de ciberseguridad recurrir a la ayuda de expertos externos para detectar y detener ataques complejos en la infraestructura de la empresa en una etapa temprana.