Comprender cybercriminels

Conocer a sus enemigos para comprender sus comportamientos y proteger mejor a su empresa.

cybercriminels son individuos o grupos que llevan a cabo actividades maliciosas para explotar vulnerabilidades y comprometer la seguridad de sistemas, redes o datos. Comprender la naturaleza, las motivaciones y los métodos de cybercriminels es crucial para que los analistas de los SOC puedan defenderse eficazmente de las ciberamenazas.

cybercriminels

Grupos de ransomware APTs Hacktivistas

Técnicas

Técnicas de ataque TTP de MITRE

Herramientas utilizadas

Recopilación de información Acceso remoto Transferencia de archivos Robo de credenciales Mando y control Varios

Lista de cybercriminels

¿Quién es su objetivo?

Grupos de ransomware

Los grupos de ransomware son entidades organizadas de ciberdelincuentes especializadas en ataques de ransomware. Aunque estos grupos suelen emplear muchas tácticas, técnicas y procedimientos sofisticados similares para comprometer sistemas, cifrar datos y extorsionar a las víctimas para obtener beneficios económicos, también tienen sus propios métodos y estrategias específicos.

8base

ALPHV Blackcat

Akira

BianLian

Basta negro

Traje negro

Brain Cipher

Cicada3301

Lockbit

Medusa

PLAY

Pryx

Grupo RA

RansomHub

Rhysida

Amenazas persistentes avanzadas (APT)

Las amenazas persistentes avanzadas (APT) son entidades ciberdelictivas organizadas o grupos patrocinados por el Estado que se especializan en ciberataques prolongados y encubiertos.

Aunque estos grupos suelen emplear tácticas, técnicas y procedimientos sofisticados para infiltrarse y mantener el acceso no autorizado a los sistemas objetivo, filtrando datos confidenciales durante largos periodos, también poseen métodos y estrategias únicos adaptados a sus objetivos y blancos específicos.

APT29

Grupo Lazarus

Hacktivistas

Los grupos hacktivistas son entidades organizadas que utilizan técnicas de piratería informática para promover agendas políticas o causas sociales. Aunque estos grupos suelen emplear tácticas, técnicas y procedimientos sofisticados similares para comprometer sistemas, desfigurar sitios web e interrumpir servicios, también tienen sus propios métodos y estrategias específicos adaptados a sus objetivos y mensajes particulares.

Los perfiles de los hacktivistas estarán disponibles en breve.

Técnicas de ataque

Técnicas utilizadas por los ciberdelincuentes

Secuestro de cuentas

Fuerza bruta

Criptominería

Kerberoasting

Exploración de puertos

Escalada de privilegios

Ataques al protocolo de escritorio remoto (RDP)

Inyección SQL

Duplicación del tráfico

Túnel

MITRE ATT&CK TTPs

Las TTP más utilizadas por los actores de la amenaza

Grupos de ransomware

Aunque los grupos de hackers suelen emplear muchas tácticas, técnicas y procedimientos sofisticados similares para comprometer sistemas, cifrar datos y extorsionar a las víctimas para obtener beneficios económicos, también tienen sus propios métodos y estrategias específicos. He aquí las técnicas y procedimientos más populares utilizados por los ciberdelincuentes:

TA0001: Initial Access

T1078: Valid Accounts

T1133: External Remote Services

T1190: Exploit Public-Facing Application

T1566: Phishing

TA0002: Execution

T1059: Command and Scripting Interpreter

TA0003: Persistence

T1136: Create Account

T1078: Valid Accounts

TA0004: Privilege Escalation

T1484: Domain Policy Modification

TA0005: Defense Evasion

T1070: Indicator Removal

T1112: Modify Registry

T1562: Impair Defenses

TA0006: Credential Access

T1003: OS Credential Dumping

T1552: Unsecured Credentials

TA0007: Discovery

T1018: Remote System Discovery

T1082: System Information Discovery

T1083: File and Directory Discovery

TA0008: Lateral Movement

T1021: Remote Services

TA0009: Collection

T1560: Archive Collected Data

TA0011: Command & Control

T1071: Application Layer Protocol

T1105: Ingress Tool Transfer

TA0010: Exfiltration

T1048: Exfiltration Over Alternative Protocol

T1567: Exfiltration Over Web Service

TA0040: Impact

T1486: Data Encrypted for Impact

T1490: Inhibit System Recovery

T1657: Network Denial of Service

Herramientas

Herramientas utilizadas por cybercriminels

Emulación de amenazas

Cobalt Strike

Realización de operaciones de equipo rojo y simulaciones de adversarios

Cloud sincronización

MEGA Ltd MegaSync

Sincronización de archivos con el almacenamiento cloud

Extracción de credenciales

Mimikatz

Extracción de contraseñas en texto plano y otros secretos de seguridad de Windows

Túnel de servidor local

Ngrok

Exponer los servidores locales a Internet de forma segura

Automatización y scripting

PowerShell

Automatización de tareas administrativas en Windows

Ejecución remota de comandos

PsExec

Ejecución de comandos en sistemas remotos

Cloud gestión del almacenamiento

Rclone

Gestión de archivos en los servicios de almacenamiento cloud

Gestión de redes

SoftPerfect

Gestión y supervisión del rendimiento de la red

Acceso remoto al escritorio

Splashtop

Acceso remoto a escritorios y aplicaciones

Cliente SFTP y FTP

WinSCP

Transferencia segura de archivos entre sistemas locales y remotos

Recopilación de información de Active Directory

AdFind

Recopilación de datos sobre entornos AD para análisis y evaluaciones de seguridad

Exploración de redes

Escáner IP avanzado

Localización de direcciones IP y recursos de red

Análisis de Active Directory

Bloodhound

Encontrar posibles vías de explotación en entornos AD

Pruebas en red

Microsoft Nltest

Comprobación y resolución de problemas de red

Supervisión del sistema

PCHunter64

Supervisión y análisis de las actividades del sistema

Supervisión de procesos

Hacker de procesos

Supervisión y gestión de procesos y servicios

Aplicación de escritorio remoto

AnyDesk

Conexiones y asistencia remotas seguras

Gestión a distancia

Fleetdeck.io

Seguimiento y gestión de equipos distribuidos

Gestión de proyectos

Nivel.io

Colaborar y gestionar proyectos en línea

Control y gestión a distancia

Pulseway

Gestión remota de la infraestructura informática

Asistencia a distancia

Screenconnect

Asistencia y apoyo a distancia

Acceso remoto al escritorio

Splashtop

Acceso remoto a escritorios y aplicaciones

Control y gestión a distancia

Táctica.RMM

Gestión remota de la infraestructura informática

Control remoto y asistencia

Teamviewer

Acceso y asistencia a distancia

Gestión de transferencias BITS

BITSAdmin

Gestión de las tareas del Servicio de Transferencia Inteligente en segundo plano

Cliente FTP

FileZilla

Transferencia segura de archivos

Cloud sincronización

MEGA Ltd MegaSync

Sincronización de archivos con el almacenamiento cloud

Cloud gestión del almacenamiento

Rclone

Gestión de archivos en los servicios de almacenamiento cloud

Compresión de archivos

WinRAR

Comprimir y descomprimir archivos

Cliente SFTP y FTP

WinSCP

Transferencia segura de archivos entre sistemas locales y remotos

Recuperación de contraseñas

LaZagne

Extracción de contraseñas almacenadas en aplicaciones

Extracción de credenciales

Mimikatz

Extracción de contraseñas en texto plano y otros secretos de seguridad de Windows

Exploración de vulnerabilidades web

Nekto / PriviCMD

Análisis de aplicaciones web en busca de vulnerabilidades

Auditoría de escalada de privilegios

WinPEAS

Encontrar posibles rutas locales de escalada de privilegios en Windows

Emulación de amenazas

Cobalt Strike

Realización de operaciones de equipo rojo y simulaciones de adversarios

Manipulación de protocolos de red

Impacket

Trabajo con protocolos de red en Python

Túnel de servidor local

Ngrok

Exponer los servidores locales a Internet de forma segura

Automatización y scripting

PowerShell

Automatización de tareas administrativas en Windows

Ejecución remota de comandos

PsExec

Ejecución de comandos en sistemas remotos

Interfaz de línea de comandos para PuTTY

Enlace PuTTY (Plink)

Automatización de sesiones SSH

Herramienta proxy

Polizón

Creación y gestión de cadenas de proxy

Solución VPN

Tailscale

Creación de redes privadas seguras

Gestión de paquetes

Chocolate

Gestión de instalaciones de software en Windows

Detección de rootkits

GMER

Identificación y eliminación de rootkits

Optimización del sistema

IOBit

Mejorar el rendimiento y la seguridad del sistema

Eliminación de rootkits

PowerTool

Detección y eliminación de rootkits

Creación de volcado de procesos

ProcDump

Generación de volcados de memoria para depuración

Reconocimiento de Active Directory

Sharphound

Recopilación de datos de Active Directory para Bloodhound

Gestión de redes

SoftPerfect

Gestión y supervisión del rendimiento de la red

Comprender cybercriminels

Lista de cybercriminels

¿Quién es su objetivo?

Grupos de ransomware

8base

ALPHV Blackcat

Akira

BianLian

Basta negro

Traje negro

Brain Cipher

Cicada3301

Lockbit

Medusa

PLAY

Pryx

Grupo RA

RansomHub

Rhysida

Amenazas persistentes avanzadas (APT)

APT29

Grupo Lazarus

Hacktivistas

Técnicas de ataque

Técnicas utilizadas por los ciberdelincuentes

Secuestro de cuentas

Fuerza bruta

Criptominería

Kerberoasting

Exploración de puertos

Escalada de privilegios

Ataques al protocolo de escritorio remoto (RDP)

Inyección SQL

Duplicación del tráfico

Túnel

MITRE ATT&CK TTPs

Las TTP más utilizadas por los actores de la amenaza

Grupos de ransomware

Herramientas

Herramientas utilizadas por cybercriminels

Los más utilizados

Recogida de información

Acceso a distancia

Transferencia de archivos

Robo de credenciales

Mando y control

Cobalt Strike

MEGA Ltd MegaSync

Mimikatz

Ngrok

PowerShell

PsExec

Rclone

SoftPerfect

Splashtop

WinSCP

AdFind

Escáner IP avanzado

Bloodhound

Microsoft Nltest

PCHunter64

Hacker de procesos

AnyDesk

Fleetdeck.io

Nivel.io

Pulseway

Screenconnect

Splashtop

Táctica.RMM

Teamviewer

BITSAdmin

FileZilla

MEGA Ltd MegaSync

Rclone

WinRAR

WinSCP

LaZagne

Mimikatz

Nekto / PriviCMD

WinPEAS