En este artículo, el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky ha monitorizado varios grupos de amenazas persistentes avanzadas (APT), analizando tendencias del año pasado para ver cuáles de las predicciones para 2023 se han hecho realidad y tratar de predecir lo que vendrá en 2024. Una forma de intentar anticiparse a desarrollos futuros para mantenernos a la vanguardia del cambiante panorama de amenazas y a nuestros clientes.
Un repaso a las predicciones del año pasado (2022)
1. El aumento de los ataques destructivos: malware CryWiper. Veredicto: parcialmente cumplido
2. Los servidores de correo se convierten en objetivos prioritarios. Veredicto: predicción cumplida
3. El próximo WannaCry. Veredicto: predicción no cumplida
4. La orientación de las APT se centra en tecnologías, productores y operadores satelitales. Veredicto: predicción no cumplida
5. Hack-and-leak es el nuevo negro (y sombrío). Veredicto: predicción cumplida
6. Más grupos APT pasarán de Cobalt Strike a otras alternativas. Veredicto: predicción no cumplida
7. Malware entregado por SIGINT. Veredicto: predicción cumplida
8. ¡Hackeo con drones! Veredicto: predicción no cumplida
Predicciones de la APT para 2024
En función del análisis realizado en 2023, este es el posible futuro del panorama de amenazas persistentes avanzadas para el próximo año.
1. El aumento de las hazañas creativas para móviles, wearables y dispositivos inteligentes
El año pasado marcó un descubrimiento importante: la “Operación Triangulación” , una nueva campaña de espionaje notablemente sigilosa dirigida a dispositivos iOS. Durante la investigación, se identificaron cinco vulnerabilidades en iOS. Estas vulnerabilidades no sólo afectaron a los teléfonos inteligentes y las tabletas, sino que también se extendieron a los portátiles y aparatos domésticos, incluidos Apple TV y Apple Watch. De cara al futuro, se podría anticipar casos más ocasionales de ataques avanzados para aprovechar los dispositivos de consumo y la tecnología doméstica inteligente. Es posible que los dispositivos iOS no sean los únicos objetivos: otros dispositivos y sistemas operativos también podrían enfrentar riesgos.
Una vía creativa para los atacantes es ampliar sus esfuerzos de vigilancia para incluir dispositivos como cámaras domésticas inteligentes, sistemas de automóviles conectados y más. Muchos de estos dispositivos, tanto nuevos como antiguos, son susceptibles debido a vulnerabilidades, configuraciones erróneas o software obsoleto, lo que los convierte en objetivos atractivos y fáciles.
Otro aspecto notable de esta tendencia emergente es el método de entrega de exploits «silencioso». En la «Operación Triangulación», los exploits se entregaron discretamente a través de iMessage y se activaron sin interacción del usuario. El próximo año, es posible que veamos métodos de entrega alternativos para exploits, como:
- Cero clics a través de populares mensajes multiplataforma, lo que permite ataques sin interacción con la víctima potencial.
- Un clic con entrega de enlaces maliciosos a través de SMS o aplicaciones de mensajería, donde las víctimas pueden desencadenar ataques sin saberlo al abrir estos enlaces.
- Actores maliciosos que interceptan el tráfico de la red, por ejemplo, explotando redes Wi-Fi, un método menos común pero potencialmente eficaz.
Para protegerse contra ataques complejos y amenazas dirigidas, la protección de los dispositivos personales y corporativos es vital. Soluciones como las plataformas XDR, SIEM y MDM, además de los productos antivirus tradicionales, permiten la recopilación de datos centralizada, aceleran el análisis y correlacionan eventos de seguridad de diversas fuentes, lo que facilita una respuesta rápida a incidentes complejos.
2. Creación de nuevas botnets con software y dispositivos corporativos y de consumo
Las vulnerabilidades persisten en el software y los dispositivos de uso común, ya sea para uso corporativo o personal. De vez en cuando se descubren nuevas vulnerabilidades de gravedad alta y crítica. Según Statista, en 2022 se descubrió un número récord de vulnerabilidades (más de 25.000). A menudo, se dedican recursos limitados a investigar vulnerabilidades y no siempre se solucionan de manera oportuna. Esto genera preocupación sobre la posible aparición de nuevas botnets a gran escala y establecidas de forma sigilosa, capaces de realizar ataques dirigidos.
La creación de una botnet implica la instalación sigilosa de malware en multitud de dispositivos sin el conocimiento de sus propietarios. Los grupos APT pueden encontrar esta táctica intrigante por varias razones. Para empezar, permite a los actores de amenazas ocultar la naturaleza selectiva de sus ataques detrás de agresiones aparentemente generalizadas, lo que dificulta que los defensores determinen la identidad y los motivos de los atacantes. Además, las botnets basadas en dispositivos o software de consumo, o en aquellos que pertenecen a organizaciones legítimas, enmascaran convenientemente la verdadera infraestructura de los atacantes. Pueden funcionar como servidores proxy, centros intermedios C2 (comando y control) y, en casos de mala configuración de la red, posibles puntos de entrada a las organizaciones.
Las botnets en sí mismas no son una nueva herramienta de ataque. Por ejemplo, hace unos años, se utilizó una botnet de más de 65.000 routers domésticos para enviar tráfico malicioso a otras botnets y APT. Otro ejemplo, que ha surgido a raíz de la generalización del trabajo remoto, está relacionado con las campañas de APT dirigidas a trabajadores remotos a través de routers de oficinas pequeñas o domésticas infectados con un troyano de acceso remoto (RAT) similar a una botnet. Dado el importante número de vulnerabilidades reveladas recientemente, esperamos ver nuevos ataques de este tipo durante el próximo año.
Los ataques impulsados por botnets no se limitarán a los grupos APT y también pueden ser adoptados por ciberdelincuentes. La naturaleza encubierta de estos ataques presenta desafíos de detección y al mismo tiempo ofrece a los atacantes amplias oportunidades para infiltrarse y establecer una presencia dentro de la infraestructura de la organización.
3. Las barreras para la ejecución de código a nivel de kernel se eluden cada vez más (los rootkits del kernel vuelven a estar de moda)
Con la introducción de medidas de seguridad modernas como KMCS (Kernel Mode Code Signing), PatchGuard, HVCI (Hypervisor-Protected Code Integrity) y la arquitectura Secure Kernel en versiones recientes de Windows, Microsoft se propuso reducir la prevalencia de rootkits y ataques similares de bajo nivel. Estos métodos de ataque clásicos prevalecieron durante una era anterior caracterizada por una multitud de variantes de rootkit. En los últimos años, hemos sido testigos de que numerosos actores de APT y grupos de delitos cibernéticos ejecutaron con éxito su código en el modo kernel de los sistemas específicos, a pesar de la presencia de estos nuevos mecanismos de protección. Varios abusos del Programa de compatibilidad de hardware de Windows (WHCP) informados este año llevaron a compromisos del modelo de confianza del kernel de Windows. En junio de 2021, se informó sobre el rootkit Netfilter, tras lo cual Microsoft publicó un aviso que detallaba que se utilizaba como medio para hacer trampa en la ubicación geográfica dentro de la comunidad de jugadores en China. Luego, Bitdefender reveló FiveSys en octubre de 2021, un rootkit que se utilizaba principalmente para apuntar a jugadores en línea con el objetivo principal de robar credenciales y secuestrar compras dentro del juego. Luego, Mandiant informó sobre el último abuso conocido que reveló el malware Poortry, que se había utilizado en varios ataques cibernéticos, incluidos incidentes basados en ransomware. En julio de 2023, informamos de forma privada sobre nuevas variantes firmadas por FiveSys.
Anticipamos un aumento en tres vectores clave que empoderarán aún más a los actores de amenazas con esta capacidad:
- Aumento del mercado clandestino de certificados de vehículos eléctricos y certificados de firma de códigos robados
- Más abuso de las cuentas de desarrollador para firmar el código malicioso a través de servicios de firma de código de Microsoft como WHCP
- Aumento continuo de BYOVD (Traiga su propio controlador vulnerable) en el arsenal TTP de los actores de amenazas actuales
4. Crecimiento de los ciberataques por parte de actores patrocinados por el Estado
El año pasado, el mundo vio más de 50 conflictos reales en curso, con el nivel más alto de conflictos violentos desde la Segunda Guerra Mundial, según estimaciones de la ONU. Cualquier confrontación política ahora incluye inherentemente elementos cibernéticos, ya que se han convertido en una parte predeterminada de cualquier conflicto, y esta tendencia evolucionará aún más. Los ataques de BlackEnergy APT en Ucrania son un ejemplo destacado de la última década, conocidos por acciones destructivas contra empresas de medios, comprometiendo los sistemas de control industrial y participando en ciberespionaje. El panorama actual de actores potenciales involucrados en la guerra cibernética es extenso y abarca desde las actividades de la campaña CloudWizard APT en el área del conflicto ruso-ucraniano hasta una serie de ataques cibernéticos provocados por los recientes ataques dentro del conflicto israelí-Hamás. Estos incluyen, por ejemplo, ataques cibernéticos a organizaciones israelíes de energía, defensa y telecomunicaciones por parte de un actor de amenazas denominado “Storm-1133” (informado por Microsoft) y el ataque a usuarios de Android en Israel con una versión maliciosa de la aplicación RedAlert – Rocket Alerts. Un grupo de piratas informáticos denominado Predatory Sparrow ha resurgido después de una pausa de casi un año en medio del conflicto en curso, según informes de CyberScoop.
De cara al futuro, anticipamos un aumento de los ciberataques patrocinados por los Estados a medida que se fortalecen las tensiones geopolíticas. No se limitará a infraestructuras críticas, sectores gubernamentales o empresas de defensa en todo el mundo; Las organizaciones de medios también estarán cada vez más en riesgo. En el clima actual de crecientes tensiones geopolíticas, los medios de comunicación pueden ser elegidos como objetivos por quienes buscan utilizarlos con fines de contrapropaganda o desinformación.
Los piratas informáticos se centrarán principalmente en el robo de datos, la destrucción de la infraestructura de TI y el espionaje a largo plazo. Es probable que también aumenten las campañas de cibersabotaje. Los atacantes no sólo cifrarán datos; lo destruirán, lo que representa una amenaza significativa para las organizaciones vulnerables a ataques motivados políticamente. Esto también incluirá ataques dirigidos específicos contra individuos o grupos. Estos ataques pueden implicar comprometer los dispositivos de las personas para obtener acceso a la organización para la que trabajan, usar drones para localizar objetivos específicos, usar malware para espiar y más.
5. Hacktivismo en la guerra cibernética: la nueva normalidad en los conflictos geopolíticos
Otro ejemplo de integración digital en los conflictos es el hacktivismo. Es difícil imaginar cualquier conflicto futuro sin la participación de los hacktivistas. Hay varias formas en que los hacktivistas pueden influir en la ciberseguridad. En primer lugar, pueden llevar a cabo ataques cibernéticos reales, incluidos ataques DDoS , robo o destrucción de datos, desfiguración de sitios web, etc. En segundo lugar, los hacktivistas pueden hacer afirmaciones falsas de piratería, lo que lleva a investigaciones innecesarias y la consiguiente fatiga de alerta para los analistas de SOC y los investigadores de ciberseguridad. Por ejemplo, en el actual conflicto entre Israel y Hamas, un grupo hacktivista afirmó haber atacado la central eléctrica privada israelí de Dorad a principios de octubre. Aunque la investigación posterior reveló que los datos que publicaron en línea fueron filtrados por otro grupo en junio de 2022, tomó tiempo y recursos descubrir que no se produjo ninguna nueva filtración. También se utilizan deepfakes, herramientas de fácil acceso que se emplean para suplantar y arrojar desinformación, así como otros casos de alto perfil, como los piratas informáticos que interrumpieron las transmisiones de la televisión estatal iraní durante las protestas. En definitiva, a medida que aumentan las tensiones geopolíticas sin perspectivas de disminuir en el corto plazo, esperamos ver un aumento de la actividad hacktivista, tanto destructiva como dirigida a la desinformación.
6. Ataques a la cadena de suministro como servicio: el acceso de compra masiva de los operadores
Existe una tendencia creciente a que los atacantes cumplan sus objetivos a través de proveedores, integradores o desarrolladores. Esto significa que las pequeñas y medianas empresas, que a menudo carecen de una protección sólida contra los ataques APT, se están convirtiendo en puertas de entrada para que los piratas informáticos accedan a los datos y la infraestructura de los principales actores, sus objetivos finales. Para ilustrar la magnitud de los ataques a la cadena de suministro, tal como los presenciamos ahora, uno podría recordar las violaciones ampliamente discutidas a través de Okta en 2022 y 2023 . Esta empresa de gestión de identidades presta servicios a más de 18.000 clientes en todo el mundo y cada uno de ellos podría verse potencialmente comprometido.
La motivación detrás de estos ataques puede variar, desde ganancias financieras hasta ciberespionaje, lo que intensifica la naturaleza preocupante de esta amenaza. Por ejemplo, el famoso grupo APT, Lazarus, ha estado perfeccionando sus capacidades de ataque a la cadena de suministro. Lo que es aún más notable es el descubrimiento de que la notoria puerta trasera Gopuram, implementada a través del infame hackeo 3CX que afectó a víctimas en todo el mundo, coexistía en las máquinas víctimas junto con AppleJeus, una puerta trasera atribuida a Lazarus. Este ataque estuvo muy dirigido y mostró particular interés en las empresas de criptomonedas, lo que puede indicar que el objetivo final de los atacantes era obtener ganancias financieras.
A medida que los ataques a la cadena de suministro se vuelven más populares entre los actores de amenazas, 2024 podría marcar el comienzo de una nueva fase en las actividades relacionadas. La tendencia puede evolucionar de varias maneras. En primer lugar, se podría emplear software popular de código abierto para dirigirse a desarrolladores empresariales específicos. Además, el mercado paralelo podría introducir nuevas ofertas, incluidos paquetes de acceso dirigidos a diversos proveedores de software y proveedores de servicios de TI. En consecuencia, aquellos interesados en orquestar ataques a la cadena de suministro, armados con acceso a un amplio grupo de víctimas potenciales, pueden seleccionar cuidadosamente sus objetivos preferidos para ataques a gran escala. Al hacer esto, los actores de amenazas están potencialmente llevando la eficiencia de los ataques a la cadena de suministro a un nuevo nivel.
7. Spear-phishing se expandirá con IA generativa accesible
Los chatbots y las herramientas de inteligencia artificial generativa ahora están muy extendidos y son de fácil acceso. Esta tendencia no ha pasado desapercibida para los actores de amenazas que están desarrollando sus propios chatbots de sombrero negro basados en soluciones legítimas. Por ejemplo, WormGPT, un modelo de lenguaje diseñado explícitamente para uso malicioso, afirmaba estar basado en el modelo de lenguaje de código abierto GPTJ. Otros modelos, como xxxGPT, WolfGPT, FraudGPT, DarkBERT y más, carecen de las restricciones de contenido presentes en soluciones legítimas, lo que las hace atractivas para los atacantes que explotan estos modelos con fines maliciosos.
Es probable que la aparición de estas herramientas facilite la producción masiva de mensajes de phishing, que a menudo sirven como paso inicial en APT y otros ataques. La importancia se extiende más allá de la capacidad de elaborar rápidamente mensajes persuasivos y bien escritos. También abarca la capacidad de generar documentos para suplantación de identidad e imitar el estilo de individuos específicos, como un socio comercial o un colega de la víctima. Se espera que el próximo año los atacantes desarrollen nuevos métodos para automatizar el espionaje de sus objetivos. Esto puede incluir la recopilación automática de datos de la presencia en línea de la víctima, como publicaciones en redes sociales, comentarios en los medios o columnas de autor: cualquier contenido asociado con la identidad de la víctima. Esta información se procesará utilizando herramientas generativas para crear varios mensajes de texto o audio con el estilo y la voz del individuo específico.
Mientras tanto, seguirá creciendo la importancia de la concientización sobre la ciberseguridad y las medidas preventivas, incluida la inteligencia de amenazas y el monitoreo y detección proactivos.
8. Aparición de más grupos que ofrecen servicios de piratería por contrato
Los grupos de hackers a sueldo (o hack-for-hire) se especializan en infiltrarse en sistemas y ofrecer servicios de robo de datos. Su clientela incluye investigadores privados, bufetes de abogados, rivales comerciales y aquellos que carecen de las habilidades técnicas para tales ataques. Estos cibermercenarios anuncian abiertamente sus servicios y se dirigen a entidades de interés.
Uno de esos grupos, seguido por nuestro Equipo de Análisis e Investigación Global (GReAT), es DeathStalker. Se centra en bufetes de abogados y empresas financieras, brinda servicios de piratería informática y actúa como intermediario de información en lugar de operar como una APT tradicional. Utilizan correos electrónicos de phishing con archivos adjuntos maliciosos para tomar el control de los dispositivos de las víctimas y robar datos confidenciales.
Estos grupos están formados por piratas informáticos cualificados organizados jerárquicamente, con líderes que gestionan los equipos. Se anuncian en plataformas de la web oscura y emplean diversas técnicas, incluido malware, phishing y otros métodos de ingeniería social. Se adaptan para evitar la detección mediante el uso de comunicaciones anónimas y VPN, y causan diversos impactos, desde filtraciones de datos hasta daños a la reputación. Los servicios de los grupos de hackers a sueldo en general van más allá del ciberespionaje y se extienden al espionaje comercial. Pueden recopilar datos sobre los competidores, por ejemplo, transacciones de fusiones y adquisiciones , planes de expansión, finanzas e información de clientes.
Este enfoque está ganando impulso a nivel mundial y esperamos que evolucione durante el próximo año. Es posible que algunos grupos de la APT expandan sus operaciones debido a la demanda de dichos servicios, ya que necesitan generar ingresos para sostener sus actividades y compensar a sus operarios.
9. Los sistemas MFT a la vanguardia de las ciberamenazas
A medida que el panorama digital continúa evolucionando, también lo hace la complejidad y sofisticación de las ciberamenazas. En el centro de este escenario en evolución se encuentran los sistemas Managed File Transfer (MFT), diseñados para transportar de forma segura datos confidenciales entre organizaciones. Las soluciones MFT, que albergan una gran cantidad de información confidencial, incluida propiedad intelectual, registros financieros y datos de clientes, se han vuelto indispensables en las operaciones comerciales modernas. Facilitan el intercambio fluido de datos tanto interna como externamente, convirtiéndose así en la piedra angular de la eficiencia organizacional. Sin embargo, este papel fundamental también los coloca en el punto de mira de los ciberadversarios, en particular de los actores del ransomware, que están en una búsqueda incesante para explotar las vulnerabilidades digitales para la extorsión financiera.
Los incidentes que involucraron sistemas MFT, como MOVEit y GoAnywhere, en 2023, arrojan luz sobre las posibles vulnerabilidades dentro de estos conductos de transferencia de datos críticos. La violación de MOVEit orquestada por la banda de ransomware Cl0p y la explotación de la plataforma GoAnywhere MFT de Fortra resaltaron cómo se podría aprovechar una sola vulnerabilidad para filtrar datos confidenciales, interrumpir operaciones y exigir un rescate.
De cara al futuro, el panorama de amenazas que afectan a los sistemas MFT está preparado para intensificarse. El atractivo de las ganancias financieras y el potencial de causar importantes interrupciones operativas probablemente impulsarán un aumento de los ataques dirigidos contra los sistemas MFT. La intrincada arquitectura de los sistemas MFT, junto con su integración en redes comerciales más amplias, alberga potencialmente debilidades de seguridad que están listas para explotar. A medida que los ciberadversarios sigan perfeccionando sus habilidades, se prevé que la explotación de vulnerabilidades dentro de los sistemas MFT se convierta en un vector de amenaza más pronunciado.
La trayectoria de las ciberamenazas dirigidas a los sistemas MFT subraya una realidad inminente: el potencial de importantes filtraciones de datos y extorsión financiera seguirá aumentando. Los incidentes de 2023 sirven como un claro recordatorio de las vulnerabilidades inherentes a los sistemas MFT y la extrema necesidad de medidas sólidas de ciberseguridad para salvaguardar estos canales críticos de transferencia de datos.
En este sentido, se recomienda encarecidamente a las organizaciones que realicen revisiones exhaustivas de sus soluciones MFT para identificar y mitigar posibles debilidades de seguridad. La implementación de soluciones sólidas de prevención de pérdida de datos (DLP), el cifrado de datos confidenciales y el fomento de una cultura de concienciación sobre la ciberseguridad son pasos prudentes para fortalecer los sistemas MFT contra las ciberamenazas emergentes. A medida que el horizonte de las ciberamenazas continúa expandiéndose, las medidas proactivas de ciberseguridad que abarquen los sistemas MFT serán primordiales para salvaguardar los activos de datos de las organizaciones y garantizar la resiliencia operativa frente a las ciberamenazas en evolución.
La narrativa de 2023 es un llamado de atención para que las organizaciones refuercen su aparato de ciberseguridad en torno a los sistemas MFT. A medida que nos aventuramos hacia un futuro en el que las ciberamenazas seguramente se volverán más sofisticadas, las organizaciones tienen la responsabilidad de mantenerse a la vanguardia, garantizando la integridad y seguridad de sus sistemas MFT en un intento por frustrar los nefastos diseños de los ciberadversarios.
Estas fueron las predicciones para el año 2023. Dentro de un año veremos cuáles se cumplieron y cuáles no.
Más información:
- https://securelist.com/advanced-threat-predictions-for-2023/107939/
- https://www.scmagazine.com/brief/predatory-sparrow-operation-ends-hiatus-amid-israel-hamas-conflict
- https://www.statista.com/statistics/500755/worldwide-common-vulnerabilities-and-exposures/
La entrada Predicciones de amenazas para 2024 se publicó primero en Una al Día.