Las aplicaciones tras ser descargadas se conectaban a un servidor remoto y descargaban configuraciones para recopilar datos de los dispositivos.

Para que tengas contexto respecto de la operación que realiza un SOC, te invito a leer nuestro artículo escrito por Darling Núñez, analista de ciberseguridad: https://www.compunetgroup.net/blogs/post/conoces-que-labor-cumple-un-soc 

¡Entonces, vamos!

¿Qué es un IoC?

IoC son las siglas de Indicator of Compromise. Es decir, se trata de una unidad métrica para determinar la existencia o no de un compromiso sobre uno o más activos o ciberactivos. Es, en estricto rigor, un indicado estático y de carácter forense. Es estático, toda vez que es un indicador que está o no está (booleano) y cuando está, se trata de una evidencia forense de una posible brecha de seguridad que se ha materializado. Se trata entonces de un indicador que permite realizar búsquedas proactivas de actividad inusual, brechas y/o vulnerabilidades sea de forma manual o automatizada a través de algún software o script desarrollado para este propósito desde el equipo de analistas de SOC, como parte de las tareas del SOC, para detección y búsqueda temprana de actividad maliciosa.

Un IoC no siempre es fácil de detectar, en ocasiones está “escondido” en registros de LOG “sin correlacionar”, en índices de bases de datos, en sistemas “silos”, en metadatos, etc. Ejemplos de IoC pueden ser:

• Archivos 
• Actividad anómala en procesos de log-in (red flags)
• Consultas DNS
• Actividad anómala en la red
• Incremento o actividad inusual de disco (base de datos, registros)
• Accesos anómalos al contexto (ubicación, intentos fallidos, dispositivos, sistemas operativos, etc.)
• Cambios en privilegios, permisos, roles, archivos, registros, etc.

¿Qué es un IoA?

IoA son las siglas de Indicator of Attack. Es decir, se del registro de un ataque (o intención de ataque) registrando el alcance (activo) y las técnicas, tácticas y procedimientos (TTP) que se están empleando, siendo esto último, en términos de indicador, más relevante que el origen que lo detona sea esto un malware, un atacante externo u otro; Por supuesto, en el contexto del análisis y uso del indicado de ataque toda vez que se trata de un indicador, dinámico, el cual efectivamente señala la materialización de un incidente y es dinámico al “cambiar” conforme las distintas etapas del ataque se suceden siendo un indicador fidedigno, con bajo o nulo falso-positivo, y que ayuda a identificar el tipo de ataque (campaña a través de las TTP).

En el contexto de que este indiciador es dinámico ya que permite “avanzar” en las distintas etapas del ataque: Reconnassance, Weaponization, Delivery, Explotation, Instalation, C&C and Movement (Lateral). Es decir, se trata de un indicador altamente dinámico y proactivo que operan en tiempo real por la naturaleza propia de un ataque.

¿Cuál es la diferencia entre un IoC y un IoA?

Primeramente, mientras el IoC es un indicador estático, IoA es dinámico y mientras IoC es una evidencia, desde el punto de vista forense, IoA es un indicador predictivo al que se le debe poner énfasis toda vez que “avisa” de un ataque en progreso o inminente. Entonces, normalmente los equipos SOC detectan IoA antes o durante la ejecución de un ataque de manera tal de contener y evitar la exfiltración de datos o el compromiso de sistemas e infraestructura deteniendo, consecuentemente, el negocio. Finalmente, el IoC es una firma estática donde, de manera previa, alguien debió conocer el IoC para tomar su firma y así podamos reconocerlo mientras que un IoA es dinámico y se le detecta por las TTP empleadas.

Los indicadores de ataque (IOA) se centran en detectar la intención de lo que un agente de amenaza se encuentra realizando, independientemente del malware o exploit utilizado en un ataque. Mientras que los indicadores de compromiso (IoC), al igual que las firmas AV, abordan un enfoque basado en la detección sin ser capaz de  detectar las crecientes amenazas de intrusiones que no hacen uso de malware y/o emplean exploits de día cero. (Thank so much my dear friend Mike!).

Los equipos de analistas de ciberseguridad que operan en SOC hacen uso de ambos indicadores creando una sinergia en el uso de ambos indicadores apoyados por el mapa de TTP que ha documentado MITRE (ATT&CK), correlación a inteligencia de amenazas para tener una visibilidad 360 de todos los activos gestionados y el comportamiento de la infraestructura en su totalidad.

¿Y qué pasa cuando hay un ataque?

Entonces viene la respuesta a incidentes. Otro día 😉

César Millavil A

CompunetGroup CEO

C|EH - ISO27001LA – ISO27032LM

Se ha detectado un "ransomware con causa" en Nueva Delhi, India. El criptovirus extorsionador exige que la gente done ropa a los sin techo, proporcione comida a los niños en pizzerías de marca y ofrezca ayuda financiera a quienes necesitan atención médica urgente.

La reciente noticia procede de CloudSEK, una empresa de supervisión de riesgos digitales, que advirtió que el ransomware Goodwill podría provocar la pérdida temporal y permanente de los datos de la empresa. Además, advirtió CloudSEK, el ransomware podría llevar a un cierre completo de las operaciones y a la pérdida de ingresos.

Un informe de CloudSEK dice: "Nuestros investigadores pudieron rastrear la dirección de correo electrónico, proporcionada por el grupo de ransomware, hasta una empresa de soluciones y servicios de seguridad informática con sede en la India, que proporciona servicios de seguridad gestionados de extremo a extremo."

"El ransomware GoodWill fue identificado por los investigadores de CloudSEK en marzo de 2022. Como sugiere el nombre del grupo de amenazas, los operadores están supuestamente interesados en promover la justicia social en lugar de las razones financieras convencionales."

En el caso de que el ransomware GoodWill afecte a un sistema, todos los documentos, fotos, vídeos, bases de datos y archivos quedan cifrados, tras lo cual los usuarios ya no pueden acceder a los datos sin una clave de descifrado.

"Los actores sugieren que las víctimas realicen tres actividades de carácter social a cambio de la clave de descifrado: Donar ropa nueva a las personas sin hogar, grabar la acción y publicarla en las redes sociales; llevar a cinco niños menos afortunados a Dominos, Pizza Hut o KFC para que se den un capricho, hacer fotos y vídeos y publicarlos en las redes sociales; y prestar asistencia financiera a cualquier persona que necesite atención médica urgente pero no pueda pagarla, en un hospital cercano, grabar el audio y compartirlo con los operadores", continúa el informe.

Si el objetivo lleva a cabo estas tres tareas, el ransomware le pide que comparta un mensaje en Facebook o Instagram, demostrando "cómo se ha transformado en un ser humano amable al ser víctima de un ransomware llamado GoodWill". Una vez verificado, la persona que orquesta este evento invasivo proporcionará, según se informa, a los afectados un kit de descifrado para recuperar los datos robados.