Boletín de seguridad de Kaspersky

Predicciones sobre amenazas avanzadas en 2024

Las amenazas persistentes avanzadas (APT) son las más peligrosas, porque hacen uso de complejas herramientas y técnicas, y suelen ser muy selectivas y difíciles de detectar. En medio de la crisis global y las crecientes confrontaciones geopolíticas, estos sofisticados ciberataques se tornan aún más peligrosos, ya que a menudo es mucho más lo que hay en juego.

En el Equipo global de Investigación y Análisis (GReAT, Global Research and Analysis Team) de Kaspersky, monitoreamos una serie de grupos APT, analizamos tendencias e intentamos anticipar cómo se desarrollarán para mantenernos por delante de las amenazas en evolución y proteger a nuestros clientes. En este artículo, repasaremos las tendencias del año pasado para ver cuáles de nuestras predicciones para 2023 se cumplieron, e intentaremos predecir lo que pasará en 2024.

Repaso a las predicciones del año pasado

1. El aumento de los ataques destructivos

En diciembre del año pasado, poco después de que lanzáramos nuestras predicciones para 2023, se informó que las agencias gubernamentales rusas habían sido blanco de un eliminador de datos llamado CryWiper. Este malware se hacía pasar por ransomware, y exigía dinero a las víctimas para “descifrar” sus datos. Pero en lugar de cifrar los datos, los destruía intencionalmente en los sistemas afectados.

En enero, ESET descubrió un nuevo wiper, que se desplegó en un ataque en Ucrania a través de objetos de directiva de grupo de Active Directory. ESET atribuye la autoría del wiper, llamado SwiftSlicer, a Sandworm (también conocido como Hades).

En junio, Microsoft publicó un informe sobre un actor de amenazas llamado Cadet Blizzard, responsable de que WhisperGate y otros wipers atacaran a agencias gubernamentales ucranianas a principios de 2022. Además de las agencias gubernamentales, la policía, los servicios de TI y los servicios de emergencia en Ucrania, el actor de la amenaza también dirigió sus ataques a organizaciones en Europa, Asia Central y América Latina, sobre todo a aquellas que apoyaban a Ucrania.

En resumen, aunque no vimos el mismo volumen de ataques que en 2022, queda claro que algunos de ellos fueron importantes.

Veredicto: la predicción se cumplió en parte 🆗

2. Los servidores de correo se convierten en objetivos prioritarios.

En junio, Recorded Future advirtió que BlueDelta (también conocido como Sofacy, APT28, Fancy Bear y Sednit) explotó vulnerabilidades en Roundcube Webmail para hackear varias organizaciones, como instituciones gubernamentales y entidades militares relacionadas con infraestructuras de aviación. El actor de amenazas utilizó noticias sobre el conflicto ruso-ucraniano para hacer que las víctimas abrieran correos electrónicos dañinos que explotaban varias vulnerabilidades (CVE-2020-35730, CVE-2020-12641 y CVE-2021-44026). Utilizando un script malicioso, los atacantes redirigían el correo electrónico entrante de sus objetivos a una dirección de correo electrónico por ellos controlada, para recopilar datos de las cuentas comprometidas.

En julio, informamos sobre una variante actualizada de Owowa que se utilizó contra objetivos en Rusia. Logramos asociar la implementación de Owowa con una cadena de intrusión mediante correo que tenía similitudes con las actividades que CloudAtlas realizaba en una campaña que bautizamos GOFFEE.

En agosto, TeamT5 y Mandiant, siguiendo investigaciones anteriores sobre la explotación de una vulnerabilidad de inyección de comandos remotos que afecta al dispositivo Barracuda Email Security Gateway (ESG) (CVE-2023-2868) por UNC4841, proporcionaron más detalles sobre las TTP utilizadas por el actor de la amenaza. UNC4841 desplegó un nuevo malware diseñado para mantener presencia en un pequeño subconjunto de objetivos de alta prioridad comprometidos, ya sea antes de que se lanzara el parche o poco después. Usaron las puertas traseras SKIPJACK y DEPTHCHARGE y el lanzador FOXTROT/FOXGLOVE. El actor de amenaza apuntó a una amplia variedad de verticales. La Agencia de Seguridad Cibernética e Infraestructura de los Estados Unidos (CISA) proporcionó IoC adicionales asociados con la explotación de CVE-2023-2868.

Veredicto: la predicción se cumplió ✅

3. El siguiente WannaCry

Por suerte para nosotros, no ocurrió una nueva epidemia cibernética.

Veredicto: la predicción no se cumplió ❌

4. Las APT se dirigirán a las tecnologías, productores y operadores de satélites

El único caso conocido de ataque con tecnologías de satélite ocurrido en los últimos años fue el hackeo de la red KA-SAT en 2022. No observamos que haya pasado nada parecido en 2023.

Veredicto: la predicción no se cumplió ❌

5. Hackear y filtrar es la nueva (y desoladora) tendencia

En abril, informamos sobre KelvinSecurity, un grupo de hacktivistas y hackers de sombrero negro de habla hispana. Las motivaciones del grupo son socio-políticas y monetarias, pero contradictorias. Los ataques están dirigidos a organizaciones públicas o privadas de todo el mundo. Las filtraciones se venden en la web oscura, grupos de mensajes o las propias plataformas del grupo, y algunas se entregan gratis.

En mayo, Ars Technica informó que las llaves privadas de BootGuard habían sido robadas después de un ataque de ransomware a Micro-Star International (MSI) en marzo de este año (el firmware en las PC con chips Intel y BootGuard habilitado sólo funciona si está firmado digitalmente con las llaves apropiadas). Si un atacante logra obtener estas claves privadas, podría firmar su malware, de modo que este código se considere confiable y se ejecute en las computadoras MSI.

En agosto, Insikt Group, una división de investigación de amenazas de Recorded Future, informó que BlueCharlie (antes rastreado como TAG-53, también conocido como Blue Callisto, Callisto o Calisto), COLDRIVER, Star Blizzard (antes SEABORGIUM y TA446) fue vinculado por investigadores a 94 nuevos dominios, a partir de marzo de este año, lo que sugiere que el grupo está modificando activamente su infraestructura en respuesta a las divulgación pública de sus actividades. El actor de amenaza se centra en la recopilación de información para operaciones de espionaje, hackeo y filtración. Tiene como blanco a organizaciones de diversos sectores, como el gobierno, la educación superior, la defensa, y los sectores políticos, organizaciones no gubernamentales (ONG), activistas, periodistas, grupos de reflexión y laboratorios nacionales.

Veredicto: la predicción se cumplió ✅

6. Más grupos APT pasarán de Cobalt Strike a otras alternativas.

Estamos monitoreando de cerca herramientas similares, una de las cuales es BruteRatel, pero Cobalt Strike sigue siendo el marco más usado para los ataques.

Veredicto: la predicción no se cumplió ❌

7. Malware entregado por SIGINT

En septiembre, The Citizen Lab publicó un informe sobre la destacada figura de la oposición egipcia Ahmed Eltantawy. Esta política fue blanco de un ataque de “día cero” antes desconocido, que infectó su teléfono con spyware.

Durante los meses de agosto y septiembre, The Citizen Lab informó que Eltantawy experimentó una forma más peligrosa de ataques de inyección de red, que no requerían ninguna acción de su parte, como hacer clic en algún botón o enlace.

El autor del informe de Citizen Lab realizó un examen para determinar la ubicación precisa de la inyección dentro de la red. Determinó que el punto de inyección estaba situado dentro de la conexión entre dos proveedores de telecomunicación egipcios. Basándose sólo en los datos técnicos, el laboratorio no pudo determinar si el middlebox estaba ubicado en el lado de Telecom Egipto o en el lado de Vodafone Egipto de la conexión. No obstante, los investigadores de Citizen Lab sospechaban que es probable que el ataque implicase la integración con una de las bases de datos de abonados de los proveedores.

Según Citizen Lab, para ejecutar el ataque contra Eltantawy habría sido necesaria la instalación del sistema PacketLogic en la red del proveedor de servicios de comunicaciones de Eltantawy en Egipto, aunque los investigadores no acusaron al ISP de complicidad en el ataque.

Veredicto: la predicción se cumplió ✅

8. ¡Hackeo de drones!

Aunque hubo un informe público sobre drones utilizados para hackear una red Wi-Fi en 2022, no hay registros de eventos similares que ocurrieran en 2023.

Veredicto: la predicción no se cumplió ❌

APT: predicciones para 2024

Echemos ahora un vistazo al posible futuro del panorama de las amenazas persistentes avanzadas.

El auge de los exploits creativos para dispositivos móviles, vestibles e inteligentes

El año pasado marcó un importante descubrimiento: “Operation Triangulation”, una nueva y notable (por su sigilosidad) campaña de espionaje dirigida contra dispositivos iOS, y que afectó a algunos de los de nuestros colegas. Durante la investigación, nuestro equipo identificó cinco vulnerabilidades en iOS, incluyendo cuatro de día cero. Estas vulnerabilidades no sólo afectan a teléfonos inteligentes y laptops, sino que también se extendieron a dispositivos portátiles y gadgets para el hogar inteligente, entre ellos Apple TV y Apple Watch. De cara al futuro, podríamos anticipar más casos ocasionales de ataques avanzados para aprovechar los dispositivos de consumo y la tecnología doméstica inteligente. Los dispositivos iOS podrían no ser los únicos objetivos: otros dispositivos y sistemas operativos también podrían enfrentarse a riesgos.

Una vía creativa para los actores de amenazas es expandir sus esfuerzos de vigilancia para incluir dispositivos como cámaras de hogares inteligentes, sistemas de automóviles conectados, etc. Muchos de estos dispositivos, tanto nuevos como antiguos, son susceptibles debido a vulnerabilidades, ajustes incorrectos o software desactualizado, lo que los convierte en objetivos atractivos y fáciles para los atacantes.

Otro aspecto notable de esta tendencia emergente es el método “silencioso” de entrega de exploits. En “Operation Triangulation”, los exploits se entregaban discretamente a través de iMessage y se activaban sin necesidad de que el usuario interactúe. Es posible que el año que viene veamos métodos alternativos de distribución de exploits, como:

  • Exploits que no necesitan clics, a través de mensajeros multiplataforma populares, que permiten lanzar ataques sin necesidad de interacción de parte de la posible víctima
  • Exploits de un clic con entrega de enlaces maliciosos a través de SMS o aplicaciones de mensajería, donde las víctimas pueden desencadenar ataques sin saberlo al abrir estos enlaces.
  • Actores malintencionados que interceptan el tráfico de red, por ejemplo, explotando redes Wi-Fi: un método menos común pero potencialmente efectivo.

Para protegerse contra ataques complejos y amenazas selectivas, es vital la protección tanto de dispositivos personales como corporativos. Soluciones como las plataformas XDR, SIEM y MDM, aparte de los productos tradicionales de antivirus, permiten la recopilación centralizada de datos, aceleran el análisis y correlacionan eventos de seguridad procedentes de diversas fuentes, facilitando una respuesta rápida a incidentes complejos.

Construcción de nuevas botnets con software y dispositivos de consumidor y corporativos

Es un hecho bien conocido: las vulnerabilidades persisten en el software y los dispositivos más utilizados, ya sea para uso corporativo o personal. De vez en cuando se descubren nuevas vulnerabilidades de severidad alta y crítica. Según Statista, en 2022 se descubrió un número récord de vulnerabilidades: más de 25 000. A menudose dedican recursos limitados a investigar las vulnerabilidades, y no siempre se solucionan a tiempo. Esto genera preocupaciones sobre la posible aparición de nuevas botnets establecidas a gran escala y de manera sigilosa, capaces de realizar ataques selectivos.

Crear una botnet implica la instalación sigilosa de malware en una gran cantidad de dispositivos sin que sus propietarios se percaten. A los grupos APT esta táctica les puede parecer interesante por varias razones. Para empezar, permite a los actores de amenazas ocultar la naturaleza selectiva de sus ataques detrás de asaltos aparentemente generalizados, lo que dificulta a los defensores determinar la identidad y los motivos de los atacantes. Además, las botnets arraigadas en dispositivos o software de consumo, o aquellas que pertenecen a organizaciones legítimas, sirven de camuflaje a la verdadera infraestructura de los atacantes. Pueden funcionar como servidores proxy, centros C2 (de comando y control) intermedios y, si la red está mal configurada, como puntos de entrada potenciales a las organizaciones.

Las botnets en sí mismas no son una herramienta de ataque nueva. Por ejemplo, hace unos años, una botnet de más de 65 000 routers domésticos se utilizó para enviar tráfico malicioso a otras botnets y APT. Otro ejemplo, que ha surgido a raíz de la generalización del trabajo a distancia, está relacionado con las campañas de APT dirigidas a trabajadores remotos a través de routers de pequeñas oficinas/oficinas domésticas infectados con un troyano de acceso remoto (RAT) similar a un botnet. Dado el elevado número de vulnerabilidades reveladas no hace mucho, esperamos ver nuevos ataques de este tipo en el próximo año.

Los ataques lanzados mediante botnets no se limitarán a los grupos de APT y también podrán ser adoptados por ciberdelincuentes. La naturaleza encubierta de estos ataques presenta retos de detección, a la vez que ofrece a los atacantes amplias oportunidades para infiltrarse y establecer una presencia dentro de la infraestructura de la organización.

Las barreras para la ejecución de código a nivel de kernel se están evadiendo cada vez más (gracias a que los rootkits de kernel están se han vuelto a poner de moda)

Con la introducción de medidas de seguridad modernas como KMCS (Firma de Código en Modo Kernel), PatchGuard, HVCI (Integridad de Código Protegido por Hipervisor) y la arquitectura de Kernel Seguro en las versiones recientes de Windows, Microsoft buscó reducir la prevalencia de rootkits y ataques de bajo nivel similares. Estos métodos de ataque clásicos dominaron el escenario durante una era anterior caracterizada por una multitud de variantes de rootkits. En los últimos años, hemossido testigos de cómo numerosos actores de APT y grupos de ciberdelincuentesejecutaban con éxito su código en el modo kernel de los sistemas objetivo, a pesar de la presencia de estos nuevos mecanismos de protección. Varios abusos del Programa de compatibilidad de hardware de Windows (WHCP) denunciados este año han puesto en peligro el modelo de confianza del kernel de Windows. En junio de 2021, se informó de la existencia del rootkit Netfilter, tras lo cual Microsoft publicó un aviso en el que se detallaba que se utilizaba como medio para hacer trampas de geolocalización dentro de la comunidad de jugadores en China. Bitdefender reveló entonces FiveSys en octubre de 2021, un rootkit que se utilizaba principalmente para atacar a jugadores en línea con el objetivo principal de robar credenciales y secuestrar compras dentro del juego. Entonces Mandiant informó del último abuso conocido que revelaba el malware Poortry, que se había utilizado en varios ciberataques, incluidos incidentes basados en ransomware. En julio de 2023, informamosen privado de nuevas variantes firmadas por FiveSys.

Anticipamos un aumento en tres vectores relevantes que potenciarán aún más a los actores de amenazas con esta capacidad:

  • Crecimiento del mercado negro de certificados EV y certificados de firma de código robados
  • Más abuso de las cuentas de desarrollador para obtener el código malicioso firmado a través de los servicios de firma de código de Microsoft, como WHCP.
  • Aumento continuo de BYOVD (Bring Your Own Vulnerable Driver) en el arsenal TTP de los actuales actores de amenazas.

Crecimiento de ciberataques por actores patrocinados por gobiernos

El año pasado, el mundo fue testigo de más de 50 conflictos reales, el nivel más alto de conflictos violentos desde la Segunda Guerra Mundial, según estimaciones de la ONU. Cualquier confrontación política ahora incluye elementos cibernéticos, que ya se han convertido en una parte predeterminada de cualquier conflicto, y se espera que esta tendencia siga evolucionando. Los ataques APT de BlackEnergy en Ucrania son un ejemplo destacado de la última década, conocidos por acciones destructivas contra empresas de medios de comunicación, comprometer sistemas de control industrial y dedicarse al ciberespionaje. El panorama actual de posibles actores involucrados en la ciberguerra es extenso, y va desde las actividades de la campaña APT de CloudWIzard en el área del conflicto ruso-ucraniano hasta una serie de ciberataques desencadenados por los recientes ataques del conflicto israelí-hamas. Estos incluyen, por ejemplo, ciberataques a organizaciones israelíes de energía, defensa y telecomunicaciones por un actor de amenazas apodado “Storm-1133”  (reportado por Microsoft) y la puesta en la mira de los usuarios de Android israelitas con una versión maliciosa de la aplicación RedAlert denominada Rocket Alerts. Un grupo de piratas informáticos apodado Predatory Sparrow ha reaparecido tras una pausa de casi un año en medio del conflicto en curso, según CyberScoop reports.

Al mirar hacia el futuro, anticipamos un aumento en los ciberataques patrocinados por el estado a medida que se aumentan las tensiones geopolíticas. Estos ataques no se limitarán a la infraestructura crítica, los sectores gubernamentales o las empresas de defensa en todo el mundo, ya que consideramos que los medios de comunicación también estarán cada vez en mayor riesgo. En el clima actual de intensas tensiones geopolíticas, las organizaciones de medios pueden ser elegidas como objetivos por aquellos que buscan utilizarlas para fines de contrapropaganda o desinformación.

Los hackers se enfocarán en el robo de datos, la destrucción de la infraestructura de TI y el espionaje a largo plazo. Es probable que las campañas de cibersabotaje también aumenten. Los atacantes no se limitarán a cifrar los datos, sino que los destruirán, lo que representa una gran amenaza para las organizaciones vulnerables a ataques de naturaleza política. Esto también incluirá ataques específicos dirigidos contra individuos o grupos. Estos ataques pueden consistir en comprometer los dispositivos de las personas para acceder a la organización para la que trabajan, utilizar drones para localizar objetivos específicos, emplear malware para espiar, etc.

Hacktivismo en la ciberguerra: Una nueva normalidad en los conflictos geopolíticos

Otro ejemplo de integración digital en conflictos es el hacktivismo. Es difícil imaginar que los conflictos futuros transcurran sin la participación de hacktivistas. Existen varias formas en que los hacktivistas pueden influir en la ciberseguridad. En primer lugar, pueden llevar a cabo ciberataques reales, incluidos ataques DDoS, robo o destrucción de datos, desfiguración de sitios web, etc. En segundo lugar, los hacktivistas pueden hacer falsas afirmaciones de hackeo para inducir investigaciones innecesarias y causar fatiga de alerta a los analistas de SOC y los investigadores de ciberseguridad. Por ejemplo, en el actual conflicto entre Israel y Hamás, un grupo de hacktivistas afirmó haber atacado la central eléctrica privada israelí Dorad a principios de octubre. Aunque la investigación subsiguiente reveló que los datos que publicaron en línea fueron filtrados por otro grupo en junio de 2022, tomó tiempo y recursos descubrir que no había ocurrido ninguna nueva filtración. También se usan los deepfakes, herramientas de fácil acceso que se utilizan para suplantar identidades y para introducir desinformación, así como en otros casos de alta resonancia, como los hackers que interrumpieron las transmisiones de televisión estatal iraní durante las protestas. En resumen, a medida que las tensiones geopolíticas aumentan y no hay perspectivas de que disminuyan en el corto plazo, pronosticamos que habrá un aumento en la actividad de los hacktivistas, tanto destructiva como dirigida a la desinformación.

Ataques a la cadena de suministro como servicio: Operadores que compran acceso al por mayor

Hay una tendencia creciente de que los atacantes buscan cumplir sus objetivos a través de proveedores, integradores o desarrolladores. Esto significa que las pequeñas y medianas empresas, a menudo carentes de una protección sólida contra los ataques APT, se están convirtiendo en portales para que los hackers accedan a los datos y la infraestructura de los empresas mayores, que son sus objetivos finales. Para ilustrar la magnitud de los ataques a la cadena de suministro, tal como los presenciamos ahora, podríamos recordar los ataques a Okta en 2022 y 2023, que fueron objeto de un amplio debate. Esta empresa de gestión de identidad presta servicios a más de 18 000 clientes en todo el mundo, y cada uno de ellos podría estar comprometido.

La motivación detrás de estos ataques puede variar, desde la ganancia financiera hasta el ciberespionaje, intensificando la preocupante naturaleza de esta amenaza. Por ejemplo, el conocido grupo APT Lazarus ha estado perfeccionando sus capacidades de ataque a la cadena de suministro. Lo que es aún más notable es el descubrimiento de que la famosa puerta trasera Gopuram, desplegada a través del renombrado hackeo de 3CX que afectó a víctimas en todo el mundo, que se encontró coexistiendo en las máquinas de las víctimas junto con AppleJeus, una puerta trasera atribuida a Lazarus. Este ataque fue altamente selectivo y mostró un interés particular en las empresas de criptomonedas, lo que sería un indicio de que que el objetivo final de los atacantes era el beneficio financiero.

A medida que los ataques a la cadena de suministro se vuelven más populares entre los actores de amenazas, 2024 podría inaugurar una nueva fase de actividades relacionadas. La tendencia puede evolucionar de diversas maneras. Primero, se podría utilizar software de código abierto popular para apuntar a desarrolladores empresariales específicos. Además, el mercado negro podría introducir nuevas ofertas, incluyendo paquetes de acceso dirigidos a varios proveedores de software y proveedores de servicios de TI. En consecuencia, aquellos interesados en orquestar ataques a la cadena de suministro, habiendo obtenido acceso a un extenso grupo de posibles víctimas, pueden seleccionar sus objetivos preferidos para lanzar asaltos a gran escala. De este modo, las amenazas pueden elevar la eficacia de los ataques a la cadena de suministro a niveles superiores.

El spear-phishing se expandirá gracias a la accesibilidad de IA generativas

Los chatbots y las herramientas de IA generativa ahora están ampliamente difundidos y son de fácil acceso. Esta tendencia no ha pasado desapercibida por los actores de amenazas que están desarrollando sus propios chatbots de sombrero negro basados en soluciones legítimas. Por ejemplo, WormGPT, un modelo de lenguaje diseñado explícitamente para uso malicioso, afirmó estar basado en el modelo de lenguaje de código abierto GPTJ. Otros modelos, como xxxGPT, WolfGPT, FraudGPT, DarkBERT, y otros más, carecen de las restricciones de contenido presentes en soluciones legítimas, lo que los hace atractivos para los atacantes que los explotan con fines maliciosos.

Es probable que la aparición de estas herramientas facilite la producción masiva de mensajes de spear-phishing, que a menudo sirven como el primer paso de las APT y otros ataques. La importancia se extiende más allá de la capacidad de generar con rapidez mensajes persuasivos y bien escritos. También abarca la capacidad de generar documentos para la suplantación de identidad y para imitar el estilo de personas específicas, como un socio comercial o un colega de la víctima. En el próximo año, se espera que los atacantes desarrollen nuevos métodos para automatizar el espionaje a sus objetivos. Esto puede incluir la recopilación automática de datos sobre la presencia en línea de la víctima, como publicaciones en redes sociales, comentarios en medios de comunicación o columnas escritas: cualquier contenido asociado con la identidad de la víctima. Esta información será procesada utilizando herramientas generativas para crear diversos mensajes de texto o audio en el estilo y voz específicos del individuo.

Mientras tanto, seguirá creciendo la importancia de la toma de conciencia sobre la ciberseguridad y las medidas preventivas, entre ellas la inteligencia de amenazas y el monitoreo y detección proactivos.

Aparición de más grupos que ofrecerán servicios de hackeo por encargo

Los grupos de hackers por encargo (o hack por encargo) se especializan en infiltrarse en sistemas y ofrecer servicios de robo de datos. Su clientela incluye investigadores privados, bufetes de abogados, rivales de negocios y aquellos que carecen de las habilidades técnicas para realizar tales ataques. Estos cibermercenarios anuncian abiertamente sus servicios y tienen como blanco entidades de interés.

Un grupo de este tipo, rastreado por nuestro Equipo Global de Investigación y Análisis (GReAT), es DeathStalker. Se enfoca en bufetes de abogados y empresas financieras, proporciona servicios de hacking y actúa como un intermediario de información en lugar de operar como un APT tradicional. Utiliza correos electrónicos de spear-phishing con archivos adjuntos maliciosos para tomar el control de los dispositivos de las víctimas y robar datos confidenciales.

Estos grupos están formados por hábiles hackers organizados jerárquicamente, con líderes que administran equipos. Hacen publicidad en plataformas de la web oscura y emplean varias técnicas, entre ellas malware, phishing y otros métodos de ingeniería social. Se adaptan para evitar que los detecten, utilizando comunicación anónima y servicios de VPN, y causan diversos impactos, desde fugas de datos hasta daños a la reputación. Los servicios de grupos de hackers por contrato generalmente van más allá del ciberespionaje y se extienden al espionaje comercial. Pueden recopilar datos sobre competidores, por ejemplo, transacciones de fusiones y adquisiciones de empresas, planes de expansión, finanzas e información de clientes.

Este enfoque está ganando impulso a nivel mundial, y pensamos que evolucionará en el próximo año. Es posible que algunos grupos de APT puedan expandir sus operaciones debido a la demanda de dichos servicios, ya que necesitan generar ingresos para mantener sus actividades y compensar a sus operarios.

Sistemas MFT a la vanguardia de las amenazas cibernéticas

A medida que el panorama digital evoluciona, también lo hace la complejidad y sofisticación de las amenazas cibernéticas. En el corazón de este escenario en evolución se encuentran los sistemas de Transferencia Administrada de Archivos (MFT), diseñados para transportar de manera segura datos confidenciales entre organizaciones. Las soluciones MFT, que albergan gran cantidad de información confidencial, como propiedad intelectual, registros financieros y datos de clientes, se han vuelto indispensables en las operaciones de las empresas modernas. Facilitan el intercambio fluido de datos tanto interno como externo, convirtiéndose así en una piedra angular de la eficiencia organizacional. Sin embargo, este papel crucial también los pone en la mira de los ciberadversarios, particularmente los actores de ransomware, quienes están en una búsqueda incansable de explotar vulnerabilidades digitales para la extorsión financiera.

Los incidentes que involucraron sistemas MFT, como MOVEit y GoAnywhere, en 2023, revelaron las posibles vulnerabilidades de estos conductos críticos de transferencia de datos. La violación de MOVEit orquestada por la banda de ransomware Cl0p, y la explotación de la plataforma MFT GoAnywhere de Fortra, destacaron cómo una sola vulnerabilidad puede ser aprovechada para exfiltrar datos confidenciales, interrumpir operaciones y exigir un rescate.

e cara al futuro, el panorama de amenazas que afectan a los sistemas MFT está preparado para emprender una escalada. Es probable que el atractivo de las ganancias financieras y el potencial para causar interrupciones operativas sustanciales impulsen un aumento en los ataques selectivos contra los sistemas MFT. La compleja arquitectura de los sistemas MFT, junto con su integración en redes empresariales más amplias, alberga potenciales debilidades de seguridad susceptibles de ser explotadas. A medida que los ciberadversarios continúen perfeccionando sus habilidades, anticipamos que la explotación de vulnerabilidades dentro de los sistemas MFT se convertirá en un vector de amenaza más pronunciado.

La trayectoria de las amenazas cibernéticas dirigidas a los sistemas MFT subraya una realidad inminente: el potencial de grandes filtraciones de datos y las extorsiones financieras continuarán en aumento. Los incidentes de 2023 sirven como un recordatorio contundente de las vulnerabilidades inherentes a los sistemas MFT y de la necesidad de tomar medidas urgentes y sólidas de ciberseguridad para proteger estos canales críticos de transferencia de datos.

En vista de esto, se recomienda encarecidamente a las organizaciones que realicen revisiones exhaustivas de sus soluciones de MFT para identificar y mitigar posibles debilidades de seguridad. Implementar soluciones sólidads de Prevención de Pérdida de Datos (DLP), encriptar los datos confidenciales y fomentar una cultura de conciencia de la ciberseguridad son pasos prudentes para fortalecer los sistemas MFT contra las amenazas cibernéticas emergentes. A medida que el horizonte de amenazas cibernéticas continúe expandiéndose, las medidas proactivas de ciberseguridad que abarcan los sistemas MFT serán fundamentales para proteger los activos de datos de las organizaciones y garantizar la resiliencia operativa ante las amenazas cibernéticas en evolución.

La narrativa de 2023 es un llamado de atención para que las organizaciones fortalezcan sus aparatos de ciberseguridad alrededor de los sistemas MFT. A medida que nos adentremos en un futuro donde las amenazas cibernéticas están destinadas a volverse más sofisticadas, son las organizaciones las que deberán mantenerse a la vanguardia, a fin de garantizar la integridad y seguridad de sus sistemas MFT y frustrar los nefastos planes de sus ciberadversarios.

Estas fueron nuestras predicciones para el año 2024. Dentro de un año, veremos cuáles se materializaron y cuáles no.

Predicciones sobre amenazas avanzadas en 2024

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada