A finales de julio de, los piratas informáticos que se referían a sí mismos como “31337” iniciaron una campaña que publicaba datos personales confidenciales en Pastebin, un tablero de anuncios en línea donde se ha observado que actores hostiles arrojan información confidencial para el consumo público. El grupo publicó un archivo de 32 MB titulado “Mandiant Leak: Op. #LeakTheAnalyst”, afirmando que los datos fueron tomados de un analista senior de inteligencia de amenazas de un conocido proveedor de seguridad informática. La empresa ha afirmado que los piratas informáticos no penetraron en ninguna de sus redes internas, aunque tres documentos corporativos y dos clientes quedaron expuestos a través de las cuentas personales de las redes sociales de la víctima.
Las credenciales en línea del analista de amenazas se habían liberado como resultado de ocho violaciones de datos de terceros que habían ocurrido anteriormente. Cualquier evidencia de compromiso corporativo, como capturas de pantalla que insinuaban intencionalmente una violación de la red, fue fabricada, según un comunicado de la compañía . De todos modos, según informes de prensa, las acciones de la empresa sintieron un impacto inmediato, cayendo un 5 por ciento después de que el incidente se hizo público.
Las empresas de seguridad privadas han ganado prominencia por sus esfuerzos para detectar e identificar actividades cibernéticas hostiles, particularmente aquellas perpetuadas por estados nacionales sospechosos o actores afiliados al estado. En particular, otra empresa privada –y no la Oficina Federal de Investigaciones ni el Departamento de Seguridad Nacional– lideró los esfuerzos de mitigación y remediación después de la irrupción de en las redes del Comité Nacional Demócrata. De hecho, las empresas encargadas de hacer cumplir la ley y del sector privado están demostrando ser una colaboración positiva. Las empresas del sector privado tienen los recursos y las conexiones para denunciar proactivamente actividades delictivas y respaldar las investigaciones con análisis forense digital e ingeniería inversa de malware. En varios casos, ambos grupos han unido fuerzasen un esfuerzo por perturbar las empresas ciberdelincuentes con conexiones de ransomware.
Sin embargo, este incidente reciente es notable porque es uno de los primeros casos en los que actores hostiles han atacado deliberadamente a analistas de seguridad e inteligencia de empresas de seguridad privadas con la intención de revelar sus identidades para causar más daños. En su publicación publicitaria de LeakTheAnalyst Op, la motivación del grupo tiene sus raíces en la venganza.
“En la operación #LeakTheAnalyst decimos ****
la consecuencia, rastreémoslos en Facebook,
Linked-in, Tweeter, etc. vamos tras todo
tienen, vayamos tras sus países, vamos
arruinar su reputación en el campo. Si durante tu
operación sigilosa en la que engañaste a un analista, objetivo
y filtrar sus datos personales y profesionales,
como trabajo secundario, por supuesto”.
En esencia, puede ser un presagio de lo que vendrá cuando los actores cibernéticos hostiles estén tratando de darle la vuelta a sus contrapartes de sombrero blanco.
Desde una perspectiva más amplia, las empresas deben considerar las ramificaciones negativas del doxing de sus empleados y cómo eso afecta potencialmente a la marca de la empresa. Tomemos, por ejemplo, los desafortunados acontecimientos que rodearon a DigiNotar. En, el sistema de DigiNotar fue engañado para que emitiera más de 500 certificados digitales fraudulentos para las principales empresas de Internet. Esto causó daños tan graves a la imagen y al negocio de la empresa que la confianza fue irrecuperable. La empresa finalmente quebró.
Si bien el grupo insinúa que seguirán más doxes, existe cierto escepticismo de que el grupo tenga o incluso tenga las habilidades necesarias para llevar a cabo ataques más sofisticados para explotar sistemas y recuperar información más confidencial. El hecho de que parezca que el grupo dio la falsa impresión de que había comprometido las redes de la compañía ciertamente sugiere que pueden tener capacidades limitadas en esta capacidad.
Si bien el incidente demuestra que incluso los profesionales de la seguridad están sujetos a ataques y victimización, la mayor preocupación es si será un incidente aislado o el comienzo de algo más grave. La atención de los medios prestada a las empresas de seguridad informática del sector privado al exponer a los actores de amenazas persistentes avanzadas (APT) o a los ciberdelincuentes que operan en la web oscura ciertamente ha llamado la atención de estos grupos e individuos. Con el reciente ataque, ahora los ha colocado en la mira de al menos algunas de estas mismas entidades.
No está claro si la publicidad que ha generado este incidente atraerá a otros actores hostiles más hábiles –como actores nacionalistas o afiliados a la APT– a unirse a la cruzada. Varios presuntos actores de la APT han sido “descubiertos” por empresas de seguridad privadas, y la cobertura actual ha resaltado negativamente las actividades de los piratas informáticos patrióticos (por ejemplo, los atacantes distribuidos de denegación de servicio observados contra Estonia en y contra bancos estadounidenses durante la Operación Ababil ). , y recientemente, los de los trolls rusos de Internet.durante las elecciones presidenciales de Estados Unidos de. Mientras que los piratas informáticos poco sofisticados y agraviados representan como mucho una amenaza modesta, un grupo de actores más motivados y avanzados que buscan vengarse de las mismas organizaciones que han establecido su reputación a partir de su exposición son un adversario completamente diferente. Atacar la imagen de marca y erosionar la confianza del público pone en riesgo la solvencia de las empresas de seguridad.
Sin querer se ha tocado una corneta; Queda por ver si esa llamada es respondida.
Esta es una publicación invitada escrita por Emilio Iasiello.