Los ejecutivos de seguridad empresarial que perciben a los grupos cibernéticos respaldados por estados nacionales como una amenaza lejana podrían querer revisar esa suposición, y de inmediato.
Varios eventos geopolíticos recientes en todo el mundo durante el año pasado han estimulado un fuerte aumento en la actividad del estado-nación contra objetivos críticos, como autoridades portuarias, empresas de TI, agencias gubernamentales, organizaciones de noticias, empresas de criptomonedas y grupos religiosos.
Un análisis de Microsoft de la panorama de amenazas globales durante el año pasado, publicado el 4 de noviembre de mostró que los ataques cibernéticos dirigidos a la infraestructura crítica se duplicaron, de representar el 20% de todos los ataques de estados-nación al 40% de todos los ataques que detectaron los investigadores de la compañía.
Además, sus tácticas están cambiando; en particular, Microsoft registró un aumento en el uso de exploits de día cero.
Múltiples factores impulsaron una mayor actividad de amenazas del estado-nación
Como era de esperar, Microsoft atribuyó gran parte del aumento a los ataques de grupos de amenazas respaldados por Rusia relacionados y en apoyo de la guerra del país en Ucrania. Algunos de los ataques se centraron en dañar la infraestructura ucraniana, mientras que otros estuvieron más relacionados con el espionaje e incluyeron objetivos en EE. UU. y otros países miembros de la OTAN. El noventa por ciento de los ataques cibernéticos respaldados por Rusia que Microsoft detectó durante el año pasado se dirigieron a países de la OTAN; El 48% de ellos estaban dirigidos a proveedores de servicios de TI en estos países.
Si bien la guerra en Ucrania impulsó la mayor parte de la actividad de los grupos de amenazas rusos, otros factores impulsaron un aumento en los ataques de grupos patrocinados por China, Corea del Norte e Irán. Los ataques de grupos iraníes, por ejemplo, se intensificaron tras un cambio presidencial en el país.
Microsoft dijo que observó a grupos iraníes lanzando ataques destructivos de limpieza de discos en Israel, así como lo que describió como operaciones de pirateo y filtración contra objetivos en los EE. UU. y la UE. Un ataque en Israel desencadenó señales de cohetes de emergencia en el país, mientras que otro intentó borrar datos de los sistemas de una víctima.
El aumento de los ataques de los grupos norcoreanos coincidió con un aumento de las pruebas de misiles en el país. Muchos de los ataques se centraron en robar tecnología de empresas e investigadores aeroespaciales.
Mientras tanto, grupos en China aumentaron el espionaje y los ataques de robo de datos para apoyar los esfuerzos del país por ejercer más influencia en la región, dijo Microsoft. Muchos de sus objetivos incluían organizaciones que estaban al tanto de información que China consideraba de importancia estratégica para lograr sus objetivos.
De la cadena de suministro de software a la cadena de proveedores de servicios de TI
Los actores del estado-nación atacaron a las empresas de TI más que a otros sectores en el período. Las empresas de TI, como los proveedores de servicios en la nube y los proveedores de servicios administrados, representaron el 22 % de las organizaciones a las que se dirigieron estos grupos este año. Otros sectores fuertemente atacados incluyeron los grupos de expertos más tradicionales y las víctimas de organizaciones no gubernamentales (17 %), la educación (14 %) y las agencias gubernamentales (10 %).
Al apuntar a los proveedores de servicios de TI, los ataques fueron diseñados para comprometer a cientos de organizaciones a la vez al violar a un solo proveedor confiable, dijo Microsoft. El ataque del año pasado a Kaseya, que resultó en el ransomware finalmente se distribuye a miles de clientes intermedios, fue un ejemplo temprano.
Hubo varios otros este año, incluido uno en enero en el que un actor respaldado por Irán comprometió a un proveedor de servicios en la nube israelí para intentar infiltrarse en los clientes intermedios de esa empresa. En otro, un grupo con sede en el Líbano llamado Polonium obtuvo acceso a varias organizaciones legales y de defensa israelíes a través de sus proveedores de servicios en la nube.
Los crecientes ataques a la cadena de suministro de servicios de TI representaron un alejamiento del enfoque habitual que los grupos de estados nacionales han tenido en la cadena de suministro de software, señaló Microsoft.
Las medidas recomendadas por Microsoft para mitigar la exposición a estas amenazas incluyen la revisión y auditoría de las relaciones con los proveedores de servicios ascendentes y descendentes, delegar la administración del acceso privilegiado responsable y hacer cumplir el acceso con privilegios mínimos según sea necesario. La empresa también recomienda que las empresas revisen el acceso a las relaciones de socios que no conocen o que no han sido auditadas, habiliten el registro, revisen toda la actividad de autenticación para las VPN y la infraestructura de acceso remoto, y habiliten MFA para todas las cuentas.
Un repunte en los días cero
Una tendencia notable que observó Microsoft es que los grupos de estados-nación están gastando recursos significativos para evadir las protecciones de seguridad que las organizaciones han implementado para defenderse contra amenazas sofisticadas.
“Al igual que las organizaciones empresariales, los adversarios comenzaron a utilizar los avances en automatización, infraestructura en la nube y tecnologías de acceso remoto para extender sus ataques contra un conjunto más amplio de objetivos”, dijo Microsoft.
Los ajustes incluyeron nuevas formas de explotar rápidamente las vulnerabilidades sin parches, técnicas ampliadas para violar corporaciones y un mayor uso de herramientas legítimas y software de código abierto para ofuscar la actividad maliciosa.
Una de las manifestaciones más preocupantes de la tendencia es el uso cada vez mayor entre los actores de los estados-nación de explotaciones de vulnerabilidades de día cero en su cadena de ataque. La investigación de Microsoft mostró que solo entre enero y junio de este año, se lanzaron parches para 41 vulnerabilidades de día cero entre julio de 2021 y junio de 2022.
Según Microsoft, los actores de amenazas respaldados por China han sido especialmente hábiles para encontrar y descubrir exploits de día cero recientemente. La empresa atribuyó la tendencia a una nueva regulación de China que entró en vigor en septiembre de 2021; requiere que las organizaciones en el país informen cualquier vulnerabilidad que descubran a una autoridad del gobierno chino para su revisión antes de divulgar la información a cualquier otra persona.
Ejemplos de amenazas de día cero que entran en esta categoría incluyen CVE-2021-35211, una falla de ejecución remota de código en el software SolarWinds Serv-U que fue ampliamente explotada antes de ser parcheada en julio de 2021; CVE-2021-40539, a vulnerabilidad crítica de omisión de autenticación en Zoho ManageEngine ADSelfService Plus, parcheado en septiembre pasado; y CVE-2022-26134, una vulnerabilidad en Espacios de trabajo de Atlassian Confluence que un actor de amenazas chino estaba explotando activamente antes de que un parche estuviera disponible en junio.
“Esta nueva regulación podría permitir que elementos del gobierno chino acumulen vulnerabilidades reportadas para convertirlas en armas”, advirtió Microsoft, y agregó que esto debe verse como un paso importante en el uso de exploits de día cero como una prioridad estatal.
.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
