En noviembre, el presidente de Ucrania reveló que las defensas de TI del país rechazaron más de 1,300 ataques cibernéticos rusos, incluidos ataques a la infraestructura de comunicaciones por satélite.
La avalancha de ataques cibernéticos destaca uno de los cambios en los ataques de amenazas persistentes avanzadas (APT) observados el año pasado: en 2022, las tensiones geopolíticas aumentaron y, junto con ellas, las operaciones cibernéticas se convirtieron en la estrategia de referencia para los gobiernos nacionales. Si bien Rusia y otras naciones han utilizado ataques cibernéticos para apoyar acciones militares en el pasado, la guerra en curso representa la operación cibernética más sostenida hasta la fecha y una que, sin duda, continuará el próximo año, dicen los expertos.
El conflicto militar se unirá al cibercrimen como una fuerza impulsora detrás de los grupos APT en el próximo año, John Lambert, vicepresidente corporativo e ingeniero distinguido del Threat Intelligence Center de Microsoft, afirmó en el Informe de defensa digital 2022 de la compañía publicado el mes pasado.
“El conflicto en Ucrania ha brindado un ejemplo demasiado conmovedor de cómo evolucionan los ataques cibernéticos para impactar al mundo en paralelo con el conflicto militar sobre el terreno”, dijo. “Los sistemas de energía, los sistemas de telecomunicaciones, los medios y otras infraestructuras críticas se convirtieron en objetivos tanto de ataques físicos como ciberataques”.
Si bien el mayor uso de ataques APT por parte de Rusia es el cambio más visible que ocurrió el año pasado, los APT están evolucionando. Más se están moviendo hacia la infraestructura crítica, adoptando herramientas de doble uso y técnicas de vivir de la tierra, e identificando la cadena de suministro de software para obtener acceso a las empresas objetivo.
Los ciberdelincuentes están utilizando herramientas cada vez más sofisticadas, pero las técnicas APT generalmente se atribuyen a las operaciones de los estados-nación, lo que significa que las empresas deben ser más conscientes de las técnicas utilizadas por los actores avanzados y cómo pueden estar motivados por preocupaciones geopolíticas, dice Adam Meyers, vicepresidente senior. presidente de inteligencia de la firma de servicios de ciberseguridad CrowdStrike.
“No existe una amenaza uniforme: cambia según la vertical comercial y la ubicación geográfica”, dice. “Usted, y este ha sido nuestro mantra durante muchos años, no tiene un problema de malware, tiene un problema de adversario, y si piensa en quiénes son esos adversarios, qué buscan y cómo operan, entonces encontrará estar en una posición mucho mejor para defenderse de ellos”.
Infraestructura crítica, satélites cada vez más en la mira
En 2021, el ataque a la distribuidora de petróleo y gas Colonial Pipeline destacó el impacto que la debilidad de la ciberseguridad podría tener en la economía estadounidense. Del mismo modo, este año ataque al sistema de comunicación por satélite Viasat - probablemente por Rusia - mostró que los actores de amenazas APT han seguido centrándose en interrumpir la infraestructura crítica a través de ataques cibernéticos. La tendencia ha cobrado impulso durante el año pasado, con Microsoft advirtiendo que la cantidad de notificaciones de estado-nación (NSN) que la compañía emitió como alertas a los clientes más del doble, con el 40% de los ataques dirigidos a infraestructura crítica, en comparación con el 20% del año anterior.
La infraestructura crítica no es solo un objetivo de los actores del estado-nación. Los ciberdelincuentes centrados en el ransomware también están apuntando a empresas de infraestructura crítica, además de seguir una estrategia de pirateo y filtración, Kaspersky declarado en sus predicciones APT recientemente publicadas.
“Creemos que en 2023 veremos un número récord de ataques cibernéticos disruptivos y destructivos que afectarán al gobierno, la industria y la infraestructura civil crítica, tal vez las redes de energía o la transmisión pública, por ejemplo”, dice David Emm, investigador principal de seguridad en Kaspersky. “Este año, quedó claro cuán vulnerable puede ser la infraestructura física, por lo que es posible que veamos el objetivo de los cables submarinos y los centros de distribución de fibra”.
No solo golpe de cobalto
Cobalt Strike se ha convertido en una herramienta popular entre los grupos de APT porque proporciona a los atacantes (y, cuando se utiliza para sus fines legítimos, equipos rojos y probadores de penetración), capacidades posteriores a la explotación, canales de comunicación encubiertos y la capacidad de colaborar. La herramienta del equipo rojo “surgió en una miríada de campañas, desde APT patrocinados por el estado hasta grupos de amenazas con motivaciones políticas”, dice Leandro Velasco, investigador de seguridad de la firma de seguridad cibernética Trellix.
Sin embargo, dado que los defensores se han centrado cada vez más en detectar tanto Cobalt Strike como el popular Metasploit Framework, los actores de amenazas se han movido hacia alternativas, incluida la herramienta comercial de simulación de ataques Brute Ratel C4 y la herramienta de código abierto Sliver.
"Brute Ratel C4... es especialmente peligroso ya que ha sido diseñado para evitar ser detectado por antivirus y protección EDR", dice Emm de Kaspersky. Otras herramientas prometedoras incluyen Manjusaka, que tiene implantes escritos en Rust tanto para Windows como para Linux, y Ninja, un paquete de control y explotación remota para la explotación posterior, dice.
Identidad bajo ataque
Después de la pandemia de coronavirus, el trabajo remoto, y los servicios en la nube para respaldar dicho trabajo, han aumentado en importancia, lo que lleva a los atacantes a atacar esos servicios con ataques de identidad. Microsoft, por ejemplo, vio 921 ataques cada segundo, un aumento del 74% en el volumen durante el último año. la empresa indicó en su informe.
De hecho, la identidad se ha convertido en un componente crítico para asegurar la infraestructura y la empresa, y al mismo tiempo se ha convertido en un objetivo principal de los grupos APT. Cada violación y compromiso investigado por CrowdStrike en el último año ha tenido un componente de identidad, dice Meyers de CrowdStrike.
“Solíamos decir confiar, pero verificar, pero el nuevo mantra es verificar y luego confiar," él dice. “Estos atacantes han comenzado a apuntar a esa parte vulnerable de la identidad… que es una parte compleja del sistema”.
Cadenas de suministro de TI bajo ataque
El ataque a SolarWinds y la vulnerabilidad ampliamente explotada en Log4J2 demostraron las oportunidades que las vulnerabilidades en el suministro de software ofrecen a los atacantes, y las empresas deben esperar que los grupos APT creen sus propias vulnerabilidades a través de ataques en la cadena de suministro de software.
Si bien aún no ha habido un evento importante, los atacantes se han dirigido a los ecosistemas de Python con ataques de confusión de dependencia contra repositorios de código abierto y ataques de phishing dirigidos a desarrolladores de Python. En general, la cantidad de ataques dirigidos a desarrolladores y empresas aumentó en más del 650% en el último año.
Además, los actores de APT están encontrando los puntos débiles en las relaciones entre vendedores y proveedores y explotándolos. En enero, por ejemplo, el grupo DEV-0198 vinculado a Irán comprometió a un proveedor de nube israelí al usar una credencial comprometida de una empresa de logística de terceros, según el informe de Microsoft.
“Este último año de actividad demuestra que los actores de amenazas… están conociendo el panorama de las relaciones de confianza de una organización mejor que las propias organizaciones”, afirma el informe. “Esta amenaza creciente enfatiza la necesidad de que las organizaciones entiendan y endurezcan las fronteras y los puntos de entrada de sus propiedades digitales”.
Para fortalecer sus defensas contra los grupos APT y los ataques avanzados, las empresas deben verificar regularmente su higiene de ciberseguridad, desarrollar e implementar estrategias de respuesta a incidentes e integrar fuentes de inteligencia de amenazas procesables en sus procesos, dice Velasco de Trellix. Para dificultar los ataques de identidad, la autenticación multifactor debería ser una rutina, dice.
“En 2023, la simple planificación de la seguridad no es suficiente para disuadir o prevenir a los atacantes”, dice Velasco. “Los defensores del sistema necesitan implementar un enfoque defensivo más proactivo”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/advanced-cyberattackers-disruptive-hits-new-technologies
