Ciberataques y ciberseguridad

21 Diciembre 2022

Nunca esta de más ser demasiado cuidadoso cuando se trata de seguridad cibernética. Por ejemplo, un día descubre que todos los datos de sus clientes han sido robados de los servidores de su empresa, si sus datos se ven comprometidos de alguna manera (ya sea a través de un ataque de una fuente externa o debido a un error humano), esto podría provocar la pérdida de sus ingresos, de sus clientes, daños a su reputación y más.

La pérdida de datos es solo uno de los muchos riesgos que implica el funcionamiento de una empresa. Como es sabido, existen diferentes tipos de ciberataques y muchas de las empresas hoy en día son vulnerables a estos eventos.

Los ataques cibernéticos son cada vez más sofisticados y frecuentes por ello, las personas y las empresas deben tomar las medidas necesarias para evitar qué un individuo o grupo intente obtener acceso, interrumpir o robar los sistemas de tecnología de la información.

Nuestro objetivo es mejorar el punto de vista de seguridad dando a conocer esta importante información con todos ustedes.
Para lograrlo, haremos un repaso por los principales eventos de seguridad de los últimos años y cómo estos pueden dar forma a un mejor enfoque de la ciberseguridad a futuro.

Ciberataques: un problema mundial.

Existen varios grupos de amenazas que han tenido un notable éxito en sus ataques, lo que ha preocupado mucho a la comunidad internacional.

El gobierno de EE. UU. ha señalado el ransomware como una gran amenaza para la seguridad nacional debido a su capacidad de vulnerar las infraestructuras críticas de los estadounidenses.

Otros gobiernos también tienen esta gran preocupación por los ataques cibernéticos y consideran la ciberseguridad una prioridad en sus políticas públicas de seguridad.

Como trabajan estos ciberdelincuentes

Los grupos de amenazas han adoptado el uso de servicios como Ransomware-as-a-Service (RaaS), que no es más que un tipo de ransomware que pueden adquirir los atacantes por medio de un modelo de suscripción, compraventa y/o comisión. Malware-as-a-Service (Maas) que permite que cualquier persona realice un ataque de malware a gran escala sin necesidad de conocimientos técnicos o experiencia previa para llevar a cabo ataques maliciosos. Además, utilizan agentes de acceso inicial (IAB) para confundir a sus víctimas y también, aprovechan vulnerabilidades en lenguajes de programación como Go, D, Nim y Rust para lograr sus objetivos.

Otros tipos de amenazas son los ataques de phishing por SMS (smishing) que aumentaron un 300% en América del Norte en los ultimos dos años. Una aplicación vulnerable llamada SHAREit permitía la ejecución remota de código y fue descargada más de un mil millones de veces. Un estudio reciente encontró que el 63% de las aplicaciones móviles probadas utilizan código abierto, que es conocido por ser vulnerable.
Estos ataques cibernéticos han afectado a personas y organizaciones de todos los tipos, incluyendo empresas de transporte, organizaciones públicas, servicios públicos, organizaciones médicas y más.

Que medidas se estan adoptando contra los hackers

La amenaza cada vez más real con respecto a los ciberataques hace que sea vital que las organizaciones y las personas tomen, entre otras medidas, mantener sus programas actualizados o mantener la copia de seguridad de datos críticos fuera de línea. Pero la implementación de actualizaciones de software como una medida reactiva no ayuda mucho a prevenir los ataques. Por lo tanto, muchas organizaciones buscan enfoques de seguridad alternativos como. Por ejemplo, acceso a la red de confianza cero(ZTNA) y Extended Detection and Response o (XDR) por sus siglas en inglés, esta última permite la detección y respuesta a incidentes de seguridad en todas las capas del entorno de TI.
La tecnología XDR recopila y vincula automáticamente datos de varias fuentes, que pueden incluir puntos finales, redes y usuarios. Esto permite identificar más amenazas y brinda a los analistas la visualización completa de comportamiento y datos que necesitan para responder de manera más rápida y eficaz.

Los equipos de seguridad están combinando defensas y tecnologías para hacer más robustas las medidas de seguridad.
Entre las nuevas estrategias se pueden mencionar:

Tecnología con prioridad en la prevención
Enfoques con prioridad en la protección
Tecnología con prioridad en la prevención
Análisis basado en firmas
Detección de amenazas y anomalías basada en IA y AA en la capa de red
Correlación avanzada de varias fuentes de datos de telemetría

ATAQUES CIBERNÉTICOS

Según un estudio de la universidad de Maryland, cada 36 segundos ocurre un ciberataque, o sea, 2244 ataques cada día

Hablemos un poco de los ataques que más resaltaron en los titulares de prensa de todo el mundo.
En febrero de 2021, un grupo de piratas informáticos intentó contaminar el suministro de agua de una ciudad de Florida llamada Oldsmar mediante el uso de productos químicos. Afortunadamente, el intento fue detectado y controlado a tiempo, de lo contrario, pudo haber afectado a más de 15.000 personas.

Varias empresas y organizaciones en diferentes países sufrieron ataques por parte de diferentes grupos. Estos incluye CD Projekt Red (atacado por "HelloKitty"), la University of Highlands and Islands (atacada por Cobalt Strike), escuelas públicas en Buffalo, Nueva York (vulnerados por ransomware), CNA Insurance (atacada por Evil Corp), Colonial Pipeline (víctima de DarkSide), AXA (atacada por Avaddon), Brenntag (víctima de DarkSide), el equipo de baloncesto Houston Rockets (atacado por Babuk), Acer (atacada por REvil), JBS Foods (también atacada por REvil), Servicios de Salud de Irlanda (afectado por Conti), y plataformas de inversiones como Robin Hood (que sufrió una filtración de datos de siete millones de cuentas de usuarios). Estos ataques ocurrieron en Chile, Italia, Taiwán, el Reino Unido y otros 40 países.
Esto nos da una idea de los frecuentes y certeros que han sido estos tipos de ciberataques a nivel mundial y de lo lejos que estamos de hallar una solución.
Según un estudio de la universidad de Maryland, cada 36 segundos ocurre un ciberataque, o sea, 2244 ataques cada día, esto quiere decir, que nadie es inmune a estos ataques y que son más frecuentes de lo que la mayoría pensamos.
Las pequeñas y medianas empresas representan el 70% de las víctimas de ataques por parte de la ciberdelincuencia y en muchos de estos casos estas empresas cierran sus operaciones al no poder recuperarse tras el ataque.
Estos ataques a las pymes están aumentando de manera exponencial en todo el mundo y son muy pocos los casos que son denunciados.
En el 43% de los casos, estas pymes no tienen un plan de acción contra estas amenazas.

RECIENTES CIBERATAQUES

Ransomware

El ransomware es un software malicioso que bloquea el acceso de un usuario a sus datos y luego exige un rescate a cambio de la llave que desbloquea estos datos. Recientemente, se han producido varios ciberataques utilizando ransomware en infraestructuras y empresas de tecnología. Algunos de los más destacados incluyen el ataque a Technopharm en octubre de 2021, el ataque a Blackbaud en mayo de 2022, y el ataque de ransomware REvil a JBS Food y Acer. También la empresa criminal de ransomware DarkSide atacó a Colonial Pipeline en mayo de 2021, el cual fue el mayor ciberataque exitoso en la historia contra la infraestructura petrolera.

A continuación se presenta algunos de los ransomware más exitosos y peligrosos que han afectado a la seguridad informática de muchas organizaciones, empresas y personalidades en el mundo.

REvil

El grupo REvil también conocido como Sodinokibi, fue una organización cuya base se cree que estuvo en Rusia debido a que el grupo no atacó organizaciones de origen ruso

El grupo REvil también conocido como Sodinokibi, fue una organización cuya base se cree que estuvo en Rusia debido a que el grupo no atacó organizaciones de origen ruso.
Este grupo dirigía operaciones de ransomware como servicio(RaaS) y es responsable de muchos de los ataques en los últimos 2 años a nivel mundial, Un ejemplo es el ataque contra JBS, el proveedor de carne más importante a nivel mundial. Este golpe ocurrió a mediados del 2021 y obligó a cerrar total o parcialmente muchas de las plantas de procesamiento de carne de res en varios países como USA, Brasil, Australia y del cual obtuvieron 11 millones de dólares por el pago del rescate.
Al grupo REvil también se le atribuyen los recientes ataques contra la industria de fabricantes de computadoras, como es el caso del ataque al gigante taiwanes Acer que en el mes de marzo del 2021 fue afectado por un ataque por ransomware.
Los documentos obtenidos a Acer, se incluirían hojas de cálculo financieras, saldos bancarios, comunicaciones bancarias y datos de usuarios de Acer.
Otros ataques de este grupo fueron:
- En mayo de 2020 robaron un terabyte de información de la compañía de abogados Grubman Shire Meiselas & Sacks (GSMS). En el ataque a esta firma se filtraron datos confidenciales, personas como Lady Gaga, Madonna, Bruce Springsteen, Elton John y Donald Trump, quien para entonces era presidente de EE.UU y a quien le pidieron $42 millones.
- En julio 2020, robo de 800 GB de información de la empresa ferroviaria de España Adif y amenaza con difundir información sensible.
- En julio de 2021, cientos de proveedores de servicio fueron atacados por el ransomware de REvil a través del software de administración remota Kaseya.
- Julio de 2021, REvil se filtró en las computadoras de la empresa de tecnología de armamentos HX5, quienes son proveedores del ejército, la armada y la fuerza aérea de Estados Unidos.

REvil desapareció.

Luego de estos ataques, los sitios webs, foros y demás instrumentos utilizados por este grupo, sorpresivamente desaparecieron. Esto ha hecho creer a las autoridades que el grupo hacker cesó sus actividades delictivas, sin embargo, una posibilidad que se maneja entre los investigadores es que el grupo REvil ha vuelto, pero bajo otro nombre.

DARKSIDE

Investigadores creen que el grupo DARKSIDE han podido extorsionar a unas 90 empresas solo en los EE. UU.

DarkSide es un grupo de ciberdelincuentes que realizan ataques usando ransomware y extorsión, aparecen a mediados del año 2020 y también proporcionan ransomware como servicio(RaaS).
Dentro de sus ataques más significativos están:
- El ciberataque a Colonial Pipeline, que ocurrió en mayo del 2021. La empresa Colonial Pipeline es la propietaria del oleoducto más grande de los EE. UU. El ataque afectó a algunos de sus sistemas de información y detuvo todas las operaciones del oleoducto por unas semanas. Colonial Pipeline pagó $5 millones de rescates.
- La unidad de Toshiba, que vende tecnología de autopago y sistemas de punto de venta a minoristas, fue atacada por DarkSide en mayo de 2021 . En el ataque fueron robados una mínima cantidad de datos de trabajo. Toshiba se negó a pagar por el rescate.
-A principios de mayo, Brenntag que es la empresa de productos químicos más grande en el mundo con sede en Alemania sufrió un ataque de ransomware en su división de América del Norte. El grupo DarkSide robó 150 GB de datos durante su ataque y luego de las negociaciones, Brenntag pagó un rescate de 4,4 millones.
Investigadores creen que han podido extorsionar a unas 90 empresas solo en los EE. UU. DarkSide se disolvió en mayo de 2021.

CONTI

Muchos analistas consideran a este ransomware como una de las amenazas más preocupantes que existen.

Conti es un ransomware que hizo su aparición a mediados de 2020. Se cree que lo distribuye un grupo con sede en Rusia y sus objetivos principales son las empresas que proveen servicios de fabricación, seguros, atención médica, servicios legales y profesionales, construcción e ingeniería y comercio minorista. Sus ataques se centran en Japón, Europa y EE. UU, pero se han visto afectados un total de 40 países. Dado que esta amenaza se presenta como un servicio comercializable (RaaS) Muchos analistas consideran a este ransomware como una de las amenazas más preocupantes que existen.
Sus ataques más sonados son:
- En septiembre de 2021, Conti atacó al fabricante japonés JVCKenwood. En este ataque se vieron comprometidos aproximadamente 1,7 terabytes de datos que fueron robados y encriptados. El grupo delictivo exige un pago de $7 millones por la devolución de la información.
- En mayo de 2021, el Servicio de Salud de Irlanda se convirtió en otra victima después de que Conti atacara el sistema de salud pública de la nación. El ataque causó caos en toda la infraestructura de atención médica. El grupo de atacantes logró reunir 700 GB de datos sin cifrar, incluida información confidencial de pacientes y estados financieros. Los delincuentes pidieron un rescate de $20 millones para proporcionar un descifrador y eliminar los datos robados.
- En abril de 2022, Conti atacó los sistemas de información del gobierno de Costa Rica, lo que llevó a los funcionarios a declarar una emergencia nacional. La filtración se propago a múltiples entes gubernamentales que se vieron obligados a detener sus operaciones por meses.
En este ataque, el grupo delictivo pidió un pago de $20 millones.

AVADDON

Avaddon es otra variante del ransomware y esta apareció en el 2020. Sus últimos ataques han tenido como objetivo organizaciones con base en Australia y aseguradoras cibernéticas con sede en Asia. Este grupo de hackers de origen ruso con un historial de más de 170 empresas infectadas, empleaban un esquema de doble extorsión donde los ciberdelincuentes sometieron a sus víctimas a un ataque de denegación de servicio (DDoS) con el fin de presionar aún más y así lograr el rescate de la información robada.
Después de varios ataques, el equipo de Abaddon detuvo sus operaciones en diciembre de 2021.
- En junio de 2021 lograron sustraer información del área administrativa de la lotería nacional de México Muchos organismos gubernamentales hasta compañías en los sectores de la salud o las telecomunicaciones de países como Brasil, Colombia, Chile, Costa Rica, México y Perú fueron víctimas de Avaddon.
Abaddon detuvo sus operaciones en junio de 2021 y el grupo criminal decidió compartir las claves de descifrado para que las víctimas puedan recuperar sus archivos

RAGNAR LOCKER

Las industrias que Ragnar Locker ha violado incluyen energía, manufactura crítica, servicios financieros, gobierno y tecnología de la información.

Ragnar Locker descubierto en abril de 2020, Ragnar Locker es un ransomware y una pandilla de ransomware. Apareció en títulos internacionales por sus ataques contra un fabricante taiwanés de productos de memoria flash NAND y módulos de memoria DRAM de alto rendimiento.
Las industrias que Ragnar Locker ha violado incluyen energía, manufactura crítica, servicios financieros, gobierno y tecnología de la información. Este grupo también utiliza la doble extorsión para incentivar a las víctimas a pagar.
Algunos de los ataques de Ragnar Locker:
- En noviembre de 2021, el gigante de los videojuegos, Capcom, fue violado por Ragnar Locker. El ataque de ransomware afectó los servidores de archivos y correo electrónico de la empresa. La banda acabó robando 10 TB de datos confidenciales de la empresa y exigió un rescate de 1580 Bitcoin, que equivale a 11 millones de dólares.
- Campari Group es conocido por sus populares marcas de licores, que incluyen SKYY Vodka, Wild Turkey y Grand Marnier. En noviembre de 2020, los actores de la amenaza robaron 2 TB de archivos sin cifrar y exigieron un rescate de $15 millones (en Bitcoin) para recuperar los archivos.
- En diciembre de 2020, Ragnar Locker atacó al gigante de la aviación Dassault Falcon Jet, que es una subsidiaria de la compañía aeroespacial francesa Dassault Aviation.

Entre los objetivos principales de esta banda se encuentran los sectores de Bancario, Sector público, Servicios comerciales y profesionales, Servicios y equipo médicos, seguros y transporte.
Esta pandilla de ransomware exige un pago en criptomoneda a cambio de la recuperación segura de los datos cifrados. Los rescates alcansan un valor aproximado de 25 Bitcoins.
Existen casos donde las sumas sobrepasan los 1.500 bitcoins.

HIVE

La familia de ransomware Hive se encuentran entre las diez bandas de ransomware más importantes del mundo. Apareció por primera vez en junio de 2021, fue noticia después de atacar a la empresa de software comercial de bienes raíces Altus Group. Esta amenaza también utiliza técnicas de doble extorsión. Las víctimas que se niegan a cooperar con el atacante corren el riesgo de publicar sus detalles en el sitio web del grupo, Hive Leaks.

Los ejemplos de Hive están escritos en el lenguaje de programación Go y compilados para computadoras de 32 y 64 bits.
Hive es famoso por atacar instalaciones de atención médica, pero recientemente decidió hacerse un nombre aún más grande atacando la industria minorista.

- En noviembre de 2021, Hive atacó al minorista de electrónica de consumo más grande de Europa, MediaMarkt. Los servidores y estaciones de trabajo de la empresa fueron encriptados por Hive y sus sistemas de TI tuvieron que cerrarse para evitar una mayor propagación. El ataque afectó a numerosas tiendas en los Países Bajos y otros países de Europa.

Hive exigió que la empresa pagara un rescate de 240 millones de dólares por el descifrado, una cifra que desde entonces se ha reducido a una fracción de esa cantidad (50 millones de dólares en bitcoin).

- En agosto de 2021, la pandilla de ransomware atacó el Memorial Health System, una organización sin fines de lucro de Ohio, lo que obligó al personal a trabajar con registros en papel, lo que interrumpió muchas de las actividades programadas.

Infoestealers

Los infostealers son programas maliciosos que entran en un ordenador a través de internet con el objetivo de robar información confidencial de forma fraudulenta.

Es un troyano diseñado para recopilar información de un sistema. Recopila información de inicio de sesión, como nombres de usuario y contraseñas, capturas de pantalla, actividad de la red y otra información de los sistemas que ha infectado. Esta informacion es envíada a otro sistema por correo electrónico a través de una red.

También puede monitorear y obtener información de forma encubierta, como el comportamiento del usuario y de identificación personal (PII), incluidos, pulsaciones de teclas de correos electrónicos, programas de chat, sitios web visitados y datos financieros.

A continuación se presenta una lista de los malware más famosos y peligrosos que han afectado a la seguridad informática en los últimos años. Estos malware han causado importantes daños económicos y a la privacidad de miles de usuarios en todo el mundo.

RED LINE

Malware como FICKER Puede dirigir a las víctimas a sitios que supuestamente ofrecen descargas gratuitas de servicios pagos legítimos, como Spotify y YouTube Premium™

RedLine es una colección de malware que roba información y se distribuye a través de campañas de correo electrónico de phishing haciendo referencia a la COVID-19. Ha sido una amenaza activa a lo largo de 2020. En 2021, se distribuyó a través de campañas de phishing y anuncios maliciosos de Google. RedLine es muy flexible y ha llegado en forma de varios servicios troyanos, juegos, cracks y herramientas.
El malware recopila información de navegadores web, clientes FTP, mensajería instantánea, billeteras de criptomonedas, servicios de red privada virtual (VPN) y clientes de juegos.
También tiene la capacidad de soltar y ejecutar de forma remota otro malware en la máquina de la víctima.

FICKER

Ficker es un robo de información vendido y distribuido en foros clandestinos rusos por un ciberdelincuente bajo el seudónimo [@]ficker. En circulación por primera vez en 2020. Ficker se distribuía anteriormente a través de enlaces web troyanos y sitios web pirateados. Por ejemplo, puede dirigir a las víctimas a sitios que supuestamente ofrecen descargas gratuitas de servicios pagos legítimos, como Spotify y YouTube Premium™. También se distribuye mediante el conocido descargador de malware Hancitor. Escrito específicamente en Rust.

HANSITOR

Hancitor se descubrió por primera vez en 2013. Se distribuyó utilizando técnicas de ingeniería social, como pretender ser del servicio legítimo de firma de documentos DocuSign®. Cuando se engaña a las víctimas para que permitan que se ejecute esta macro maliciosa, infecta sus sistemas. Luego, Hancitor se conecta a la infraestructura C2 e intenta descargar una variedad de componentes maliciosos.

Entre otros malwares se encuentran:
El virus de la ransomware WannaCry, el troyano bancario Zeus, el gusano Conficker y el malware de espionaje Stuxnet.

Desarrollo de software seguro para garantizar la ciberseguridad

Es recomendable contar con un equipo de seguridad de la información y/o asesoramiento externo para garantizar que el software cumpla con las normas y regulaciones de seguridad aplicables.

Muchos problemas de seguridad se pueden resolver cubriendo todos los vectores de amenazas, incluidas las fuentes generalmente consideradas benignas.

El Equipo de respuesta a incidentes de seguridad de productos de una organización también es una parte importante para mejorar la postura de seguridad de la información. Por ejemplo, este equipo de respuesta puede trabajar en estrecha colaboración con otros equipos y brindarles valiosa información de seguridad durante el ciclo de vida de desarrollo de software, esto ayuda a garantizar que los productos y los procesos de construcción sean lo más seguros posible.

El riesgo de un ataque se reduce cuando las líneas de comunicación entre los equipos son sólidas. Es importante que los analistas de seguridad reduzcan su subjetividad natural cuando buscan aplicaciones y servicios confiables. Si bien la firma de certificados, la procedencia, la creación de herramientas y otros pasos de implementación son valiosos desde una perspectiva de seguridad, es imperativo que los equipos de operaciones de seguridad se mantengan escépticos en todo momento.

La divulgación rápida y la prevención de una infracción a los protocolos de seguridad también son necesarias para proteger a las organizaciones y los clientes que confían en sus productos o servicios.

Ciberseguridad: claves para protegerse de los ataques informáticos

Mantenga las computadoras, los dispositivos y las aplicaciones parcheados y actualizados.
Copia de seguridad de datos críticos fuera de línea.
Asegúrese de que las copias de los datos críticos estén en la nube o en un disco duro externo o dispositivo de almacenamiento.
Instale y actualice periódicamente el software antivirus o antimalware en todos los hosts.
Utilice únicamente redes seguras y evite el uso de redes Wi-Fi públicas.
Implemente la autenticación multifactor (MFA o 2FA).
Use aplicaciones de autenticación en lugar del correo electrónico, ya que los actores pueden tener el control de las cuentas de las víctimas.
No haga clic en archivos adjuntos o enlaces no solicitados en los correos electrónicos.
Implemente privilegios mínimos para archivos, directorios y permisos de recursos compartidos de red.
Realice un restablecimiento de contraseña global. Se sabe que los actores de amenazas obtienen credenciales del sistema.
Implemente una política de contraseñas seguras y obligue a los usuarios a cambiar las contraseñas al menos cada 90 días.
Instale una solución EDR con la capacidad de detener los procesos detectados y aislar sistemas en la red, según las condiciones identificadas.
Bloquee los C2 conocidos del atacante en el firewall e implemente los IOC’s en las distintas soluciones de seguridad.
Si no es necesario, elimine los puertos RDP vulnerables expuestos a Internet.
Bloquee los eventos de múltiples intentos de conexión SMB de un sistema a otro en la red durante un corto período de tiempo.
Implemente las actualizaciones de seguridad y mantenga el software de la compañía actualizado.
Monitoree las descargas y subidas de archivos poniendo especial atención cuando el origen es el controlador de dominio.
Monitoree los escaneos de red de servidores para servicios específicos como RDP, FTP, SSH y SMB. Manténgase informado de las últimas amenazas y riesgos en Internet.
Realice un bloqueo preventivo de los Indicadores de Compromiso (Antispam, Firewall, Webfilter, Antivirus, etc).
Realice Pruebas de Penetración y Ethical Hacking.

Los ciberataques en el futuro

Sobre el futuro de las amenazas cibernéticas, es importante tener en cuenta varios aspectos.
Primero, es necesario hacer una revisión de las amenazas cibernéticas actuales y cómo están evolucionando. Esto puede incluir la adopción de nuevas técnicas y herramientas por parte de los ciberdelincuentes, así como el surgimiento de nuevos tipos de amenazas, como el ciberterrorismo o el ciberespionaje.

Además, es importante considerar el impacto de la tecnología en el futuro. Por ejemplo, el auge de la inteligencia artificial y la automatización puede tener un impacto significativo en el panorama de las amenazas cibernéticas, ya que estos desarrollos pueden facilitar la realización de ataques cibernéticos de manera más sofisticada y a gran escala.

Otro factor a considerar es el papel de las empresas y los gobiernos en la prevención y mitigación de las amenazas cibernéticas. Muchas empresas están adoptando medidas de seguridad cibernética más sólidas para proteger sus sistemas y datos, mientras que los gobiernos están desarrollando leyes y regulaciones para regular el uso de la tecnología y proteger a los ciudadanos.

En resumen, el futuro de las amenazas cibernéticas dependerá en gran medida de cómo evolucione la tecnología y cómo se aborden los problemas de seguridad cibernética por parte de las empresas y los gobiernos.
Es importante estar atentos a estos desarrollos y tomar medidas para protegerse efectivamente contra las amenazas cibernéticas futuras.