Predicciones sobre amenazas avanzadas en 2021

Hacer predicciones sobre el futuro es un asunto complicado. Sin embargo, a pesar de que no tenemos una bola de cristal para leerlo, podemos hacer estimaciones basadas en las tendencias que hemos observado en los últimos 12 meses para identificar aquellas áreas que probablemente los ciberpiratas atacarán en el futuro.

Partamos reflexionando sobre nuestras predicciones para 2020.
 

• El próximo nivel de ataques de bandera falsa
  Este año no hemos vista nada tan dramático como la modificación de módulos maliciosos para atribuirlos a otros actores de amenazas, como es el caso de Olympic Destroyer. Sin embargo, el uso de banderas falsas sin duda se ha posicionado como el método más usado por grupos de ATP para desviar la atención de sus actividades. Entre los ejemplos sobresalientes de este año están MontysThree y DeathStalker. Curiosamente, en el caso de DeathStalker, el actor incorporó en su infraestructura metadatos de certificados del conocido grupo Sofacy, renunciando al encubrimiento a cambio de atribuir sus operaciones a otros actores.
• Del ransomware al ransomware selectivo
  El año pasado, remarcamos la migración hacia el ransomware selectivo y predijimos que los atacantes usarían métodos más agresivos para extorsionar dinero a sus víctimas. Este año, no ha habido semana sin noticias sobre extorsiones contra grandes organizaciones, incluyendo los recientes ataques contra varios hospitales en EE.UU. También hemos visto el surgimiento de intermediarios que se ofrecían para negociar con los atacantes para obtener rebajas en los rescates.  Algunos atacantes parecían ejercer mayor presión, porque robaban los datos antes de cifrarlos y amenazaban con publicarlos. En un reciente incidente que afectó a un importante consultorio de psicoterapia, los atacantes publicaron información crítica de los pacientes.
• Nuevos vectores de ataque contra la banca y sistemas de pago en línea
  Este año no hemos observado ningún ataque de gran envergadura contra los sistemas de pago en línea. No obstante, las instituciones financieras siguen siendo blanco de grupos de ciberpiratas especializados, como FIN7, CobaltGroup, Silence y Magecart, así como de actores de amenazas APT, como Lazarus.
• Más ataques contra infraestructuras y blancos diferentes a PCs
  Los actores de amenazas APT no han limitado sus actividades a Windows, como lo demuestran la extensión de la estructura MATA de Lazarus, el desarrollo de la puerta trasera Penquin_x64 de Turla y los ataques contra los centros europeos de supercomputación en mayo. Asimismo, vimos el uso de herramientas para múltiples plataformas y arquitecturas, como Termite y Earthworm en la operación TunnelSnake. Estas herramientas pueden crear túneles, transferir datos y engendrar shells remotos en las máquinas atacadas, y son compatibles con x86, x64, MIPS(ES), SH-4, PowerPC, SPARC y M68k. Para colmo, descubrimos una estructura a la que llamamos MosaicRegressor, que incluye una imagen infectada del firmware para UEFI, diseñada para descargar programas maliciosos en los equipos capturados.
• Más ataques en regiones colindantes con las rutas comerciales entre Asia y Europa
  En 2020 observamos varios actores de amenazas APT que atacaron a varios países que antes no llamaban su atención. Vimos varios programas maliciosos que actores de habla china usaron contra gobiernos en Kuwait, Etiopía, Argelia, Birmania y en el Medio Oriente. También notamos que StrongPity lanzó una nueva versión mejorada de su principal implante, llamado StrongPity4. En 2020 encontramos víctimas infectadas con StrongPity4 fuera de Turquía, en el Medio Oriente.
• Métodos de ataque cada vez más sofisticados
  Además del malware para UEFI que ya mencionamos, vimos también el uso de servicios de nube legítimos (YouTube, GoogleDocs, DropBox, Firebase) como parte de infraestructuras de ataque, ya sean ataques de geo-cercas o alojamiento de malware, o utilizados para las comunicaciones con los servidores de administración.
• Reenfoque hacia los ataques móviles
  Esto resulta evidente en los informes que hemos publicado este año. Año tras año hemos visto más y más actores APT que desarrollan herramientas para atacar dispositivos móviles. Este año, entre los actores de amenazas estuvieron OceanLotus (el actor detrás de TwoSail Junk), Transparent Tribe OrigamiElephant, y muchos más.
• Abuso de la información personal: desde las grandes falsificaciones hasta las fugas de DNA
  La información personal filtrada/robada se está usando más que nunca antes en ataques personales y cercanos. Los actores de amenazas parecen haber perdido el miedo a involucrarse en comunicaciones activas con sus víctimas, como parte de sus operaciones de spear-phishing, en su afán de infectar sus sistemas. Un ejemplo de esto son las actividades de TheatNeedle de Lazarus y los esfuerzos de DeathStalker para presionar a sus víctimas a habilitar las macros. Los ciberpiratas han usado software de AI para imitar la voz de un directivo de primer nivel para engañar a un gerente e inducirle a transferir más de 240 000 libras esterlinas a una cuenta bancaria controlada por los atacantes; por otra parte, agencias gubernamentales y policiales han usado software de reconocimiento facial para la vigilancia.

Volcando nuestra atención hacia el futuro, estos son algunos desarrollos que, según creemos, pasarán al primer plano el año que viene, según las tendencias que hemos observado este año.

Los actores de amenazas APT comprarán a los ciberpiratas el acceso inicial a redes

En los últimos 12 meses observamos muchos ataques selectivos de ransomware que usaban malware genérico, como Trickbot, para penetrar las redes atacadas. También observamos conexiones entre los ataques selectivos de ransomware y redes clandestinas bien establecidas, como Genesis, que se dedican a comercializar credenciales robadas. Creemos que los actores de APT comenzarán a usar el mismo método para infectar a sus víctimas. Las organizaciones deberían prestar mayor atención al malware genérico y llevar a cabo actividades básicas de respuesta a incidentes en cada computadora infectada a fin de asegurarse de que no se haya usado malware genérico para lanzar amenazas sofisticadas.

Más países usarán sitios web legítimos como parte de sus ciberestrategias

Hace unos años predijimos que los gobiernos recurrirían a “nombrar con nombre y apellido” para llamar la atención hacia las actividades de grupos de ATP hostiles. Hemos visto varios casos de esto en los últimos 12 meses. Creemos que la estrategia de “combate persistente” del Comando Cibernético de EE.UU. comenzará a dar frutos el próximo año y otros estados la replicarán, sobre todo como represalia de “ojo por ojo” a las acusaciones de Estados Unidos. El combate persistente implica la publicación de informes sobre las herramientas y actividades de los adversarios. El Comando Cibernético de EE.UU. argumenta que el combate en el ciberespacio es de una naturaleza completamente diferente, por lo que requiere una lucha a tiempo completo contra los adversarios para neutralizar sus operaciones. Una de las formas en que lo hacen es brindando indicadores que la comunidad de inteligencia de amenazas pueda usar en sus investigaciones; es decir, es una forma de orientar la investigación privada a través de la desclasificación de inteligencia.

Para los ciberdelincuentes, es más dificil usar las herramientas “quemadas” y usarlas puede poner en peligro campañas anteriores que de otra manera podrían haberse mantenido desapercibidas. Frente a esta nueva amenaza, los adversarios que planean sus ataques deben incurrir en mayores gastos (la alta posibilidad de perder sus herramientas o de que estas queden expuestas) y reconsiderar su balance de pérdidas y ganancias.

Exponer las herramientas de los grupos de APT no es algo nuevo: las sucesivas filtraciones causadas por Shadow Brokers son un ejemplo notable de ello. Sin embargo, es la primera vez que se lo hace de manera oficial con agencias gubernamentales. Si bien es imposible cuantificar los efectos de la disuasión, especialmente sin acceso a los canales diplomáticos donde se tratan estos temas, creemos que en 2021 más países se sumarán a esta estrategia. Primero, los países aliados tradicionales de EE.UU. pueden empezar a replicar este proceso, y luego los blancos de tales descubrimientos podrían seguir el ejemplo, como una forma de represalia.

Más empresas de Silicon Valley tomarán medidas contra los intermediarios de día cero

Hasta hace poco, los intermediarios de día cero han comercializado exploits para productos comerciales conocidos, y al parecer, las grandes empresas, como Microsoft, Google, facebook y otras no le han prestado mucha atención a este comercio. Sin embargo, en estos últimos doce meses, más o menos, ha habido casos de alto perfil en los que supuestamente se atacaron cuentas mediante vulnerabilidades en WhatsApp, entre ellas las de Jeff Bezos y Jamal Khashoggi. En octubre de 2019, WhatsApp inició acciones legales contra el grupo NSO con sede en Israel por haber explotado una vulnerabilidad en su software, y porque la tecnología que NSO vendió fue utilizada para atacar a más de 1400 de sus clientes en 20 países distintos, entre ellos activistas de derechos humanos, periodistas y otros. Posteriormente, un juez estadounidense falló en favor de dar curso al juicio. El resultado del caso podría tener amplias consecuencias, una de las cuales podría ser que otras empresas también inicien acciones legales contra las empresas que venden exploits de día cero. Creemos que debido a la creciente presión de la opinión pública y el riesgo de daños a la reputación, otras empresas podrían seguir los pasos de WhatsApp e iniciar acciones legales contra los intermediarios de día cero, demostrando así a sus clientes que se preocupan por su protección.

Más ataques contra dispositivos de red

Dada la tendencia hacia el mejoramiento general de la seguridad corporativa, creemos que los actores desviarán sus esfuerzos a explotar vulnerabilidades en los dispositivos de red, como las pasarelas VPN. Vemos que esto ya está sucediendo. Para mayores detalles, ver aquí, aquí y aquí. Esto va a la par con el giro hacia el trabajo desde casa, que requiere que más empresas usen configuraciones VPN para sus operaciones. La atención cada vez mayor en el trabajo a distancia, y la dependencia de las VPNs, abre otro potencial vector de ataques: la recopilación de las credenciales de los usuarios a través de estrategias de ingeniería social del mundo real, como, por ejemplo, las estafas a través de llamadas telefónicas, o “vishing”, para penetrar las VPNs corporativas. En algunos casos, esto permite al atacante que cumpla sus objetivo de espionaje sin instalar malware en el equipo d ela víctima.

El surgimiento de vulnerabilidades 5G

El 5G ha concentrado la atención este año, con EE.UU. presionando en países amigos para desalentarlos a adquirir los productos de la marca Huawei. En muchos países, también circulan historias terroríficas sobre posibles riesgo a la salud y otros. Esta atención en la seguridad de 5G significa que los investigadores, públicos y privados, sin duda están analizando los productos Huawei y otros, en busca de señales de problemas de implementación, fallas en el cifrado e incluso puertas traseras. Tales fallas sin duda captarán el interés masivo de los medios de comunicación. A medida que aumente el uso de 5G y que más dispositivos dependan cada vez más de la conectividad que ofrece, los atacantes tendrán un gran incentivo para buscar vulnerabilidades que puedan explotar.

Se “amenazará” para obtener dinero

Hemos visto varios cambios y refinamientos en las tácticas que han usado las bandas de ransomware en los últimos años. El más notable es que los ataques han evolucionado de ser especulativos, aleatorios y distribuidos a grandes cantidades de víctimas potenciales, a ser altamente selectivos y exigir considerables rescates a una sola víctima por vez. Las víctimas se seleccionan con mucho cuidad, en base a su capacidad de pago, su dependencia de los datos cifrados y la amplitud del impacto que el ataque puede tener. Ningún sector se libra de ellos, a pesar de las promesas de los ciberpiratas de no atacar hospitales. El método de distribución también se ajusta a las características de la organización atacada, como hemos visto en los ataques contra centros médicos y hospitales a lo largo del año.

También hemos visto bandas de ransomware que buscan sacar ventaja amenazando con publicar los datos robados, si la empresa se rehusa a pagar el rescate exigido. Es posible que esta tendencia siga evolucionando a medida que las pandillas que usan ransomware busquen maximizar sus ganancias.

El problema del ransomware ha cobrado tal relevancia que la Oficina de control de bienes extranjeros (OFAC, por sus siglas en inglés) publicó instrucciones para las víctimas y aclaró que el pago de rescates podría constituir una violación del las sanciones internacionales. Entendemos que este anuncio es el inicio un gran debilitamiento de las actividades de los ciberpiratas en todo el mundo por parte de las autoridades estadounidenses.

Este año, los ciberpiratas detrás de Maze y Sodinokibi iniciaron el modelo de “afiliación” que implica la colaboración entre grupos de ciberpiratas. No obstante, el ecosistema de los programas secuestradores sigue siendo muy diverso. Es posible que en el futuro veamos una concentración de los principales grupos de ransomware, que comiencen a concentrar sus actividades y obtengan capacidades similares a las de los grupos de ATP. Sin embargo, mientras tanto, grupos más pequeños seguirán con el modelo establecido que depende de mantener redes de bots y de terciarizar el ransomware.

Ataques más perjudiciales

Cada vez más aspectos de nuestras vidas dependen más de la tecnología y la conectividad a Internet. Como resultado, ofrecemos una superficie de ataque mucho mayor que nunca antes. Por lo tanto, es probable que en el futuro los ataques perjudiciales sean más frecuentes. Por una parte, los daños podría ser el resultado de ataques selectivos, orquestados y diseñados para afectar infraestructuras críticas. Por otra, podría tratarse de daños colaterales como consecuencia de ataques masivos de ransomware contra organizaciones con las que nos relacionamos en el día a día, como escuelas, supermercados, el correo postal y el transporte público.

Los atacantes seguirán explotando la pandemia del COVID-19

La pandemia del COVID-19 en este año ha puesto al mundo de cabeza, afectando casi todos los aspectos de nuestras vidas. Atacantes de toda laya, incluyendo actores de amenazas APT, reaccionaron rápidamente ante la oportunidad de explotar el genuino interés en este tema. Como mencionamos antes, esto no cambió los TTPs, sino que fue un simple tema persistente de interés que podían explotar con técnicas de ingeniería social. La pandemia seguirá afectando nuestras vidas por un tiempo más, y los actores de amenazas también seguirán explotándola para penetrar los sistemas que tienen en la mira. En los últimos seis meses hubo reportes de grupos de APT que atacaron centros de investigación del COVID-19. El Centro nacional de seguridad cibernética del reino Unido (NCSC, por sus siglas en inglés) informó que el APT29 (conocido también como Dukes y Cozy Bear) atacó un centro de desarrollo de vacunas para el COVID-19. Mientras dure, la pandemia seguirá siendo de interés estratégico para los ciberdelincuentes.