CIBERSEGURIDAD 55 específicas, globales, etc., pueden ser simples o englobar objetivos estratégicos de mayor calado-nivel.). Son actividades originadas por el ciberatacante botmaster en la etapa C&C que son dirigidas contra un objetivo u otros sistemas, dispositivos, redes, etc. El ciber-atacante o malware malicioso realiza sus acciones sobre los objetos (sistema, dispositivo, red, pasarela, router, impresora, etc.) de la víctima/objetivo infectado como manipular, interceptar, fabricar, interrumpir, destruir, etc. Esto puede ser el punto de partida de un ciberataque malware más complejo el malware puede progresar hacia datos más valiosos de la BD a través del servidor Web. El DAIM bloqueará todo tipo de intentos maliciosos de realizar acciones sobre la víctima/ objetivo e impedirá posibles intentos de progreso hacia otros objetivos. Haciendo ingeniería inversa de una CKC podemos identificar el comportamiento y motivaciones del malware. Estas indicaciones permiten al DAIM bloquear todo tipo de puntos débiles, vulnerabilidades, exploits, etc. El DAIM bloqueará todo tipo de intentos maliciosos de exfiltrar datos utilizando canales C&C/ C2 (Command and Control). (23) Escaneo. El ciberatacante en general debería obtener información sobre el objetivo (usuario, dispositivo, sistema, nodo, aplicación, servicio, etc.) a explotar con éxito. En algunos casos el ciberatacante (cracker, ciberarma/malware ofensivo, cibercriminal, hacker ofensivo, ciberdelincuente, etc.) gastamucho esfuerzo para encontrar los datos relacionados con las víctimas. El DAIM bloqueará todo tipo de intentos maliciosos de escaneo. (24) Ganar acceso. El ciberatacante debería obtener acceso al objetivo (dispositivo, aplicación, red, etc.) y realizar las actividades maliciosas (modificar, robar, cifrar datos, espiar, generar daños humanos/medio ambientales, etc.). El DAIMbloqueará todo tipo de intentos maliciosos de ganar-obtener cualquier tipo de acceso. (25) Mantener el acceso. Durante el tiempo del ciber-ataque para una explotación con éxito el ciberatacante trata de encontrar formas demantener el acceso al objetivo (dispositivo, sistema, etc.) utilizandomecanismos (que el DAIMneutralizará) como backdoors (por ejemplo, rustock.b, tivserv, etc.), ejecución de servicios ocultos, etc. El DAIM bloqueará todo tipo de intentos maliciosos de permitir cualquier forma de mantener el acceso. (26) Cubrir trazas-pistas. El ciberatacante debería cubrir todo tipo de trazas-evidencias sobre la existencia del ciber-ataque para evitar su detección, dejar pistas falsas (inculpando a otros, falsa bandera) o incluso para ser anónimo (nunca existió). El DAIM bloqueará todo tipo de intentos maliciosos de que el ciberatacante pueda cubrir sus trazas, pistas, ciberevidencias. Muchos ciberataques sólo utilizan unas pocas de las fases anteriormente especificadas, por ejemplo: • (I) Un ciberataque tipo XZ5 utiliza comopatrón: [‘reconocimiento – weaponization - entrega – explotación – instalación - C&C - acciones sobre el objetivo’]. • (II) Un ciberataque tipo SW9 utiliza como patrón: [‘reconocimiento/ acceso inicial – entrega – exploración – instalación – ejecución’]. • (III) Un ciberataque ‘ransomware avanzado’ utiliza como patrón: [‘acceso/compromiso inicial (phishing, vulnerabilidad de borde de red, RDP/Remote Desktop Protocol, etc.) - escalada de privilegios a dominio Admin (para acceso al AD (Active Directory)/LDAP) – (exfiltrar datos, destruir backups, desplegar la carga útil ransomware) – Demanda de pago por el rescate (en criptomonedas)’]. CONSIDERACIONES FINALES Nuestromundo va siendo cada vezmás automatizado, cibernético (con todo tipo de realidad virtual, aumentada, disminuida, etc.), digital (sin olvidar la parte analógica y los conversores A/D y D/A), tecnológico, conectado, basado en servicios, definido por software y datos (SDN-SoftwareDefined-Network, SDRSoftware-Defined-Radio...), etc., y cuando estos elementos (servicios, APPs/APIs, datos, firmware, software, hardware, personas, sostenibilidad, medio ambiente, etc.) se infectan o se ven comprometidos, es decir se ven ciberatacados por ciberatacantes/crackers/robots/malware ofensivo de todo tipo surgen las ciberpandemias, las campañas masivas de ciberataques/infección, las ciberendemias y puede llegar al caos. Según Netskope el 44%de las ciberamenazas hacen uso de la nube, en este entorno el malware ofensivo se lanza a través de servicios y aplicaciones ‘cloud’. El Adobe Flash tiene un elevado número de vulnerabilidades que utiliza el malware ofensivo para ciberatacar. Según la sexta edición del estudio de IBM sobre ciberresiliencia ‘Cyber Resilient Organization Study 2021’ basado en la encuesta de Ponemon Institute a nivel mundial, reconoce que más de la mitad de las empresas (51%) admitió haber sufrido un ciberataque contra sus datos (fuga de ficheros de información de alto valor, disminución de la productividad de los empleados, daños en infraestructuras de IT, inactividad del centro de datos, etc.). En un informe presentado de forma conjunta entre Harvard Business Review Analytic Services titulado ‘En la era de la Inteligencia se observa una superficie de ataque en expansión’y DXC Technology se destaca que el 52% de los directivos reconocen la incapacidad de sus organizaciones para detectar y prevenir robos de datos
RkJQdWJsaXNoZXIy Njg1MjYx