Group-IB: alcanza la capacidad de análisis predictivo de amenazas

Búsqueda de amenazas: cómo el análisis de de gráficos red de Group-IB ayuda a predecir la actividad cibercriminal, incluso antes de que ocurra

Group-IB, una compañía internacional de seguridad cibernética que se especializa en prevenir ataques cibernéticos ha lanzado una nueva herramienta para clientes, que ayuda a predecir y atribuir ataques, incluso antes de que puedan ocurrir.

La compañía ha otorgado a sus clientes acceso a la herramienta interna de la compañía para el análisis de redes gráficas, que es capaz de identificar enlaces entre datos dispersos, atribuir un ataque a un grupo de hackers específico en segundos, así como examinar y predecir posibles amenazas que son relevantes para una organización o industria en particular.

Las tecnologías de análisis de red de gráficos patentadas de Group-IB están integradas en los productos de la compañía, a saber, Threat Intelligence, Threat Detection System, Secure Bank y Brand Protection Service.

La decisión de la compañía de poner su herramienta interna a disposición de los clientes tiene como objetivo ayudar a los analistas de SOC y CERT, expertos en inteligencia de amenazas e investigadores forenses a explorar las tácticas y la infraestructura de los atacantes, al mismo tiempo que mejora sus propios sistemas de ciberseguridad y aumenta sus habilidades de caza de amenazas.

Los análisis gráficos de red de Group-IB se diseñaron en base a los indicadores de compromiso encontrados durante años de investigaciones de delitos cibernéticos, operaciones de respuesta a incidentes y análisis de malware por Threat Intelligence y Threat Detection System.

Los datos históricos sobre ciberdelincuentes, recopilados en 16 años, incluyen miles de millones de registros de nombres de dominio, direcciones IP, huellas digitales de servidores, que se han utilizado en ataques, así como etiquetarlos a piratas informáticos o grupos específicos.

“Es casi imposible protegerse contra los ataques y prevenir posibles daños sin el conocimiento de sus enemigos”, comentó Dmitry Volkov, CTO del Group-IB  y Jefe de Inteligencia de amenazas.

“Habíamos considerado docenas de proveedores de análisis de redes gráficas antes de decidir desarrollar nuestro propio instrumento.

No encontramos una solución única que cumpliera con todos nuestros requisitos.

Ninguno de los gráficos tenía todo el alcance de los datos históricos: dominios, DNS pasivo, SSL pasivo, registros DNS, puertos abiertos, servicios que se ejecutan en puertos y archivos que tienen conexiones con nombres de dominio y direcciones IP.

Comenzamos a recopilar dichos registros de datos nosotros mismos, actualizándolos de manera continua, y algunos de ellos abarcan un período de 15 años.

Tampoco nos gustó el hecho de que otras soluciones proporcionaban opciones solo para la creación manual de gráficos, por lo tanto, creamos nuestro gráfico para que esté completamente automatizado.

Para abordar el problema de los enlaces irrelevantes que es común para otros productos, hemos enseñado a nuestro sistema a identificar enlaces irrelevantes basados ​​en la lógica de nuestros expertos que lo hicieron previamente en modo manual.

El objetivo principal de nuestro tablero gráfico es la búsqueda de amenazas, la atribución más precisa y el análisis más profundo de los adversarios. Este instrumento ya está disponible en nuestros productos “.

Caza: evolución

El análisis de gráficos de red del Group-IB deja atrás indicadores no verificados de compromiso y se centra en el examen del atacante y la gestión de amenazas que son relevantes para un área comercial particular.

Los analistas que utilizan el análisis de red de gráficos Group-IB pueden escribir un dominio sospechoso, una dirección IP, correo electrónico o huella digital de certificado SSL en la barra de búsqueda, después de lo cual el sistema crea automáticamente un gráfico de red basado en el elemento de búsqueda que muestra dominios vinculados, direcciones IP, huellas digitales y etc.

A pesar de que la mayoría de los atacantes, específicamente los grupos ciberdelincuentes y de APT, intentan permanecer sin ser detectados en línea, la mayoría de ellos han prestado mucha menos atención a su anonimato y seguridad operativa y, como resultado, han cometido errores al comienzo de su viaje criminal.

Los gráficos ayudan a identificar no solo elementos vinculados, sino también características comunes: patrones que caracterizan un grupo cibercriminal específico a otro.

El conocimiento de tales características únicas ayuda a identificar los elementos de la infraestructura de los atacantes en la etapa de preparación del ataque, incluso sin evidencia que confirme el ataque, como correos electrónicos de phishing o malware.

Por ejemplo, en diciembre de 2018, el grupo de piratas informáticos Cobalt, conocido por atacar a los bancos, envió correos electrónicos disfrazados de Banco Nacional de Kazajstán.

Si los expertos en ciberseguridad, por ejemplo, no hubieran encontrado los correos electrónicos de phishing y no tuvieran la oportunidad de llevar a cabo un análisis exhaustivo de archivos maliciosos, podrían haber creado un gráfico basado en el dominio malicioso nationalbank [.] Bz, utilizado por los cibercriminales.

El gráfico creado habría mostrado de inmediato los enlaces a otros dominios maliciosos y al grupo cibercriminal de cobalto, revelando qué archivos ya se han utilizado en ataques anteriores.

Group-IB – Gráfico de Análisis de la Red

Cuando Group-IB investiga los ataques de phishing, las actividades de fuentes web falsas o piratas, los expertos de la compañía normalmente crean gráficos para identificar las fuentes web vinculadas y verificar el contenido análogo de todos los hosts encontrados.

Esto permite que Group-IB encuentre tanto phishing antiguo páginas, que permanecieron activas, pero no detectadas, y páginas de phishing absolutamente nuevas, que se crearon para futuros ataques y no se utilizaron hasta ahora.

Además, el análisis de la red de gráficos es indispensable para buscar backends: el 99 por ciento de las tiendas de tarjetas, los foros de piratas informáticos, numerosos recursos de phishing y otros servidores maliciosos se esconden detrás de sus propios servidores proxy y legítimos.

El conocimiento de la ubicación real de un servidor malicioso ayuda a identificar el servicio de alojamiento y crear enlaces a otros proyectos maliciosos de los actores de la amenaza.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam