Cuando SecurityWeek le preguntó a Steve Katz, el primer CISO del mundo, qué amenazas futuras le preocupaban más, respondió: "La mayor amenaza es la experiencia cada vez mayor de los piratas informáticos".
Este es el resultado de la mecánica básica: "Cuando un objeto ejerce una fuerza sobre un segundo objeto, el segundo ejerce una fuerza sobre el primero que es igual en magnitud y opuesta en dirección". En cibernética, significa que cuando las defensas se fortalecen, los atacantes se vuelven más sofisticados; y cuando los atacantes se vuelven más sofisticados, las defensas se fortalecen. Es acción versus reacción ad infinitum, con los ciberdelincuentes actualmente dominando.
(Excluimos de esta discusión la actividad del estado-nación adversario. Ver Cyber Insights 2022: Estados-nación para obtener información sobre la amenaza de la nación. Vale la pena señalar, sin embargo, que la demarcación entre los ciberdelincuentes y los actores del estado nación no siempre es simple, y algunos actores tienen un pie en ambos campos).
A lo largo de 2021, los atacantes han sido dominantes. Esto continuará durante al menos la primera mitad de 2022. Las razones principales son una organización mejor, más profesional y muchos más recursos. Las bandas criminales, sencillamente, se han vuelto muy ricas.
“Ahora es una realidad que las bandas de ciberdelincuentes son tan valiosas como las empresas unicornio”, dice Mikko Hyppönen, investigador de F-Secure. “Nuestro enemigo se está volviendo más poderoso y más rico”.
Él cita dos razones para esto. En primer lugar, los ingresos del crimen han aumentado dramáticamente a través de las estafas BEC y el aumento del ransomware y la extorsión por denegación de servicio. En segundo lugar, los delincuentes prefieren almacenar sus fondos como criptomonedas. “Hace cinco años”, dice Hyppönen, “controlaban alrededor de 10 millones de dólares en riqueza. Durante estos 5 años, el valor de bitcoin ha aumentado de $ 500 a $ 50,000, por lo que ha llegado la era de las pandillas de unicornios del ciberdelito”.
El efecto de este aumento de la riqueza ha sido la evolución de negocios de ciberdelincuencia organizados profesionalmente con suficiente riqueza para comprar zero-days en el mercado abierto en competencia con los estados nacionales, y suficiente dinero para financiar su propia I+D en nuevas tecnologías como la IA. “A medida que crece el valor de bitcoin y otras criptomonedas, los atacantes invertirán en mayores grados de automatización y técnicas más sofisticadas para infiltrarse en los objetivos”, agrega. mike heredi, vicepresidente de EMEA y APAC en XM Cyber.
Los impulsores del cibercrimen en 2022
Prestigio
Los primeros piratas informáticos no buscaban dinero. Eran, como indica el significado original de la palabra, gente curiosa a la que le gustaba desarmar cosas. El elogio de 'romper' cosas fue la motivación principal, y el espíritu, aunque modificado, sigue vivo.
“Durante años, los jugadores y los streamers han sido una tendencia creciente en las redes sociales, con audiencias que desean conocer sus técnicas secretas sobre cómo llegar al siguiente nivel”, comenta. jose carson, científico jefe de seguridad en ThycoticCentrify.
“La piratería ahora sigue el mismo camino con los mejores piratas informáticos del mundo transmitiendo sus habilidades de piratería en línea, mostrando nuevas técnicas y métodos sobre cómo eludir la seguridad y obtener el punto de apoyo inicial, y luego elevar los privilegios. Las plataformas de gamificación de piratería también están en aumento a medida que los equipos de piratería compiten por el estado L33T y se ubican en la parte superior de la tabla de clasificación. Esta nueva tendencia continuará en 2022, y veremos cómo la piratería se convierte en un EL3T3 Sport, con espectadores pagando para ver a los piratas operar en vivo”.
Ética
El término "hacktivista" se utiliza para describir a un hacker impulsado por su propia visión del bien y el mal en lugar de un deseo directo de ganar dinero. En sus inicios se centró en gran medida en la desfiguración de la web dejando mensajes como "¡Libertad para Julian Assange!"
Se convirtió en algo menos inocente, con ataques de activistas por los derechos de los animales contra empresas de experimentación con animales y ataques de activistas antinucleares contra empresas de la industria nuclear. Está impulsado en gran medida por los mayores problemas morales de cualquier período, por lo que es probable que el hacktivismo ambiental aumente en 2022.
Pero también ha aumentado en extensión y gravedad, a la altura de la actividad geopolítica nacional. Podría decirse que las campañas de desinformación e información errónea e incluso la intromisión electoral directa pueden describirse como una forma de hacktivismo. Putin descartó la intromisión rusa en las elecciones como obra de patriotas (¡no del estado ruso!) que simplemente podrían haber estado tratando de ayudar a su país. Tal 'hacktivismo' probablemente regresará en un año de elecciones intermedias.
Mike Sentonas, CTO de CrowdStrike, cree que los Juegos Olímpicos de Invierno de 2022 en China también podrían servir como catalizador. “Los Juegos Olímpicos de Invierno de Beijing 2022 muy bien podrían ser un polvorín de actividad cibernética del estado-nación”, dice. "Es probable que incluso veamos hacktivistas salir de la nada para participar en campañas de disrupción y desinformación".
Dinero
El dinero es, con mucho, la motivación individual más importante detrás de la actividad cibercriminal. En un intento por ganar más dinero (y proteger a las personas), los grupos de ciberdelincuencia se han vuelto mejor organizados y más profesionales.
El desarrollo más importante es el surgimiento del 'delito cibernético como servicio' y una separación concomitante de roles.
Comenzó como un malware como servicio vagamente definido. En lugar de usar su malware ellos mismos, los desarrolladores comenzaron a 'alquilar' su producto a otros delincuentes, a menudo menos calificados. Mapache, Noche silenciosa y Cargador de legión son algunos ejemplos. Pronto surgieron servicios más específicos, y los investigadores reconocieron el ransomware como servicio (por ejemplo, Darkside y Malvado) y phishing-as-a-service como categorías dentro del género. El crecimiento del crimeware como servicio se expandirá a lo largo de 2022.
“Las bandas de ransomware rivalizarán con las empresas en complejidad”, advierte darren williams, CEO y fundador de BlackFog. “El año pasado, ya vimos bandas de ransomware transformarse en empresas inteligentes con estructuras organizativas sofisticadas, una de las cuales llegó a crear una empresa falsa para reclutar talento. En 2022, veremos que esta tendencia continúa cobrando fuerza, con una mayor coordinación entre pandillas, la doble extorsión evolucionando a triple extorsión y los esquemas de venta al descubierto se disparan”.
Las principales ventajas para los delincuentes son la separación de funciones (lo que hace que todo el proceso sea más eficiente y comercial) y permite que los autores intelectuales de los delitos permanezcan en un segundo plano y sean potencialmente más difíciles de identificar.
La separación de roles ha continuado más allá del simple desarrollo de malware. Hay corredores de acceso separados que pueden vender acceso listo para usar a diferentes objetivos y agentes de ventas que pueden vender credenciales robadas. El efecto general es que los aspirantes a piratas informáticos menos calificados se sienten atraídos por el ciberdelito y pueden lanzar ataques sofisticados a gran escala. Como resultado, el gran volumen de ciberataques aumentará hasta 2022.
"El retorno de la inversión detrás de los ataques de hackers y ransomware en los últimos dos años", dice matt rahman, director de operaciones de IOActive, “ha convertido a los malos actores en profesionales de negocios. Cuando dirige un negocio, la profesionalidad, el servicio al cliente y un excelente producto impulsan la demanda de sus servicios”.
troy branquia, gerente sénior de inteligencia de amenazas en Zix/App River, agrega: "Es por eso que en 2022 veremos a los ciberdelincuentes formar relaciones de trabajo aún más sólidas para facilitar su éxito continuo".
Cumplimiento de la ley
Con el cibercrimen firmemente en ascenso, la ley de acción y reacción significa que los defensores deben responder. Mayores presupuestos de seguridad, mejores productos de seguridad y exhortaciones continuas a la industria para que establezca al menos los aspectos básicos de la ciberseguridad, no han detenido el aumento de la ciberdelincuencia. Los gobiernos finalmente se han dado cuenta de que deben adoptar una postura más proactiva contra el delito cibernético. Esto ya ha comenzado.
“La temporada de caza de unicornios está en marcha y estamos viendo cómo las fuerzas del orden toman más medidas para acabar con las bandas del crimen organizado en todo el mundo”, dice Hyppönen. “El Departamento de Estado de EE.UU. también está ofrece una recompensa de 10 millones de dólares para obtener información que conduzca al arresto de al menos dos bandas de ransomware diferentes, por lo que será interesante ver cuántos unicornios del ciberdelito habrá a lo largo de 2022".
También hay indicios sutiles de una mayor cooperación gubernamental internacional contra el delito cibernético. A principios de diciembre de 2021, SpiderLabs de Trustwave informó: "La colaboración entre las fuerzas del orden público ha hecho que los ciberdelincuentes de Europa del Este se pregunten si ya existe un refugio seguro".
SpiderLabs continuó: "Según las conversaciones que hemos recopilado, un segmento de ciberdelincuentes ahora está preocupado de que las autoridades rusas puedan estar persiguiéndolos activamente". Cita un mensaje con fecha del 10 de noviembre de 2021 encontrado en la web oscura: “Por cierto, están las recientes negociaciones secretas sobre ciberdelincuencia entre la Federación Rusa y los Estados Unidos”.
El punto de inflexión puede haber sido el ransomware DarkSide ataque contra Oleoducto Colonial. Muchos gobiernos han considerado durante mucho tiempo que los ataques físicos contra la infraestructura crítica están fuera del alcance: el peligro de una retribución creciente es demasiado alto. Este puede haber sido accidental; un ataque no realizado por DarkSide en sí mismo, sino por un franquiciado de ransomware como servicio menos experimentado.
Vale la pena considerar lo que sucedió después. Biden habló con Putin. DarkSide se oscureció. El ataque fue 'descartado' como un ataque más aceptable contra el lado de TI de pagos de Colonial en lugar de un ataque contra la tecnología operativa de una industria crítica (una afirmación que no es universalmente aceptada). Y el gobierno de los EE. UU. pudo recuperar una parte considerable del rescate de bitcoin pagado por Colonial (nuevamente, algo que tiene no se ha explicado adecuadamente).
[ Leer: Cinco señales clave de la redada de ransomware REvil en Rusia ]
Accion y reaccion
Pero si la aplicación de la ley se vuelve más eficaz contra el ciberdelito, podemos esperar que los ciberdelincuentes contraataquen. Es simple acción y reacción.
erich kron, defensor de la concientización sobre la seguridad en KnowBe4, comenta: “Las pandillas de delitos cibernéticos no se van a quedar de brazos cruzados mientras se desconectan uno por uno. En reacción a una mayor coordinación entre países y los arrestos o derribos resultantes, estos malos actores comenzarán a contraatacar, apuntando a los intereses de aquellos que les causan más problemas. Donde el ransomware y el cibercrimen a menudo son esfuerzos estrictamente motivados por el dinero, ya no es solo un negocio, ahora es personal. Espere un aumento de los ataques centrados en las naciones que arrestan o derriban infraestructuras”.
Las bandas de delincuentes cibernéticos no necesitan quedarse en Rusia o Europa del Este, donde las similitudes culturales entre el este y el oeste facilitan el entendimiento común. Hay otros países con diferentes culturas y religiones que podrían estar felices de albergar criminales antioccidentales, como Irán y posiblemente Afganistán. “Los esfuerzos de arriba hacia abajo, como las sanciones del Departamento del Tesoro de EE. UU., pueden conducir a arrestos, pero en última instancia empujarán a estos grupos más a la clandestinidad y fuera de su alcance”, sugiere John Bambenek, principal cazador de amenazas en Netenrich.
2022 es un año clave en acción y reacción. La lucha contra los ciberdelincuentes por parte de las fuerzas del orden ya ha comenzado. Pero los criminales no se quedarán sentados sin hacer nada. Reaccionarán. Todo esto se desarrollará a lo largo de 2022, y no se sabe qué lado tendrá la ascendencia para fin de año. La única certeza es que cualquiera que sea el bando que gane, solo será una victoria temporal. La acción y reacción entre el bien y el mal continuará indefinidamente.
Acerca de SecurityWeek Cyber Insights 2022
Cyber Insights 2022 es una serie de artículos que examinan la evolución potencial de las amenazas durante el nuevo año y más allá. Se analizan seis áreas principales de amenazas:
• Mejorando la sofisticación criminal
Aunque los sujetos han sido separados, los ataques rara vez ocurrirán de forma aislada. Los ataques al estado nacional y a la cadena de suministro a menudo estarán vinculados, al igual que cadena de suministro y ransomware. La IA antagónica probablemente se verá principalmente en ataques contra la identidad; al menos a corto plazo. Y por debajo de todo está la creciente sofisticación y profesionalidad del ciberdelincuente.
Kevin Townsend es colaborador sénior de SecurityWeek. Ha estado escribiendo sobre temas de alta tecnología desde antes del nacimiento de Microsoft. Durante los últimos 15 años se ha especializado en seguridad de la información; y ha publicado muchos miles de artículos en decenas de revistas diferentes, desde The Times y Financial Times hasta revistas de informática actuales y antiguas.
Tags:
