Adrian McCabe, Ryan Tomcik y Stephen Clement de Mandiant y Google Cloud publicaron una entrada de blog sobre cómo los actores de amenazas están utilizando las herramientas de análisis digital como armas.
Me pareció particularmente interesante cómo herramientas como los acortadores de enlaces, la geolocalización por IP y los CAPTCHA, que normalmente se utilizan con fines legítimos, pueden ser utilizadas por los actores de amenazas para mejorar sus ataques.
Por ejemplo, los actores de amenazas pueden utilizar los acortadores de enlaces para ofuscar las URL maliciosas, lo que dificulta que los usuarios identifiquen si un enlace es seguro. También pueden utilizar herramientas de geolocalización por IP para dirigirse a usuarios de regiones geográficas específicas o para evitar ser detectados bloqueando a usuarios de determinadas ubicaciones. Además, los actores de amenazas pueden utilizar herramientas CAPTCHA para evitar que las herramientas automatizadas accedan a su infraestructura o cargas útiles maliciosas, lo que dificulta que los investigadores de seguridad analicen sus ataques.
La entrada del blog también ofrece orientación sobre cómo pueden los defensores protegerse de estas amenazas. Por ejemplo, los defensores pueden utilizar el análisis de red para identificar patrones sospechosos, como múltiples solicitudes desde un único host a un acortador de enlaces en un corto período de tiempo. También pueden utilizar herramientas de seguridad de endpoints para detectar procesos maliciosos que intentan conectarse a servicios de geolocalización por IP o herramientas de clasificación de bots.
En general, la entrada del blog ofrece una útil visión general de cómo los actores de amenazas están abusando de las herramientas de análisis digital, y ofrece una guía práctica sobre cómo pueden los defensores protegerse de estas amenazas.
