Descripción de la Tecnica
T1597.002 (Purchase Technical Data) es una técnica relacionada con la ciberseguridad que describe cómo los actores maliciosos pueden obtener información técnica sobre sus objetivos mediante la compra de datos en fuentes privadas o no convencionales.
Esta práctica implica el uso de bases de datos, servicios de agregación de datos o marketplaces oscuros para recopilar detalles sobre víctimas, como IP addresses, dominios, empleadores, hábitos de red o información financiera. La intención es usar estos datos para planificar ataques o actividades maliciosas.
Como Funciona
Los adversarios identifican a sus objetivos y luego compran información técnica sobre ellos en plataformas legítimas o ilegales. Por ejemplo, pueden adquirir registros de escaneo de redes, informes de vulnerabilidades o datos de usuarios desde servicios de análisis de seguridad.
En casos más complejos, los atacantes podrían comprar información en marketplaces oscuros (dark web) donde se comercian datos sensibles. Este proceso requiere acceso a fuentes confiables o no, y puede involucrar la compra de datos en forma de archivos, dominios o registros de actividad en Internet.
Actores que la Utilizan
Esta técnica es utilizada por actores avanzados persistentes (APTs), grupos cibernéticos y otras entidades con objetivos maliciosos. Estos actores aprovechan fuentes de datos para preparar ataques específicos o infiltraciones.
En el contexto de MITRE ATT&CK, esta técnica se asocia con amenazas que priorizan la recolección de información antes de ejecutar acciones de ataque directo.
Deteccion
La detección implica monitorear comportamientos anómalos en sistemas de gestión de datos, redes o plataformas de análisis. Por ejemplo, se pueden identificar patrones de búsqueda repetida por usuarios no autorizados en bases de datos de escaneo o servidores de análisis.
Se recomienda realizar auditorías regulares de permisos y monitorear tráfico de red para detectar accesos inusuales a fuentes de datos confidenciales.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigacion
Para mitigar el riesgo, se deben implementar medidas de seguridad en sistemas que gestionen datos sensibles. Esto incluye la limitación de acceso a bases de datos, el uso de criptografía para comunicaciones críticas y la monitorización continua de actividades sospechosas.
También es crucial educar a los empleados sobre las peligrosas prácticas de compra de información en marketplaces oscuros o plataformas no verificadas.