Los ataques entre países dejaron de ser hoy en día solo en el ámbito físico, el robo de información confidencial y el poder en riesgo la operación de organizaciones o empresas en el país enemigo, son también estrategias para debilitar a la contraparte.
Phishing, robo de credenciales, ataques de fuerza bruta y explotación de debilidades y vulnerabilidades conocidas, son algunas de las armas utilizadas por los hackers rusos en el ciberespacio para la guerra contra Ucrania.
En las últimas semanas se ha visto bastante actividad en el ciberespacio debido a los últimos acontecimientos presentados en Ucrania. La ciberguerra es una realidad, que ha estado presente desde semanas, meses, incluso años atrás entre los países de Rusia, Ucrania y los diferentes frentes o aliados. Se realizan operaciones y ciberataques en cualquier momento y desde múltiples infraestructuras y orígenes disponibles en internet, que no se pueden identificar como un ataque oficial de un país o Estado.
A partir del monitoreo de amenazas, el equipo de inteligencia de amenazas del SOC (Security Operations Center) de Logicalis, ha trabajado sobre un nuevo informe de investigaciones de seguridad llamado Threat Trends Lab Report.
Como resultado del monitoreo de estos eventos, se identificaron indicadores de compromiso malicioso (IOCs), además de técnicas, tácticas y comportamientos, que permiten mejorar la detección de amenazas, hacer sugerencias y recomendaciones de ciberseguridad a los clientes.
Continuamente vivimos en una ciberguerra que no percibimos y en la que están involucrados diferentes grupos de cibercriminales, actores de amenazas, investigadores, equipos de ciberseguridad, instituciones y Estados en todo el mundo. Algunos de estos grupos son estructuras de crimen organizado, otros son grupos patrocinados por organizaciones privadas y gobiernos.
Del reporte surge que los actores de amenaza desplegaron malware contra Ucrania, para dejar los sistemas informáticos inoperables, alterando su funcionamiento. Esto afecta directamente las operaciones diarias de una organización, impactando la disponibilidad de activos y datos críticos.
Estos también se pueden extender hacia organizaciones en otros países y se recomienda aumentar la vigilancia y evaluar sus capacidades de planificación, preparación, detección y respuesta ante estos eventos y un incidente de seguridad.
También han estado enfocados sobre contratistas del departamento de defensa de los Estados Unidos, en áreas como comunicaciones, inteligencia, armamento, vehículos terrestres y aéreos, desarrollo de software, entre otros.
Estos actores rusos han utilizado técnicas conocidas pero efectivas para obtener acceso en sus objetivos, a través de spear phishing, robo de credenciales, ataques de fuerza bruta y explotación de debilidades y otras vulnerabilidades conocidas.
En el ciberespacio se libran guerras constantemente y los grupos de ciberdelincuentes, actores de amenaza, empresas y Estados demuestran sus capacidades y poderío, tanto ofensivo, como defensivo. Estos actores han tenido acceso y persistencia sobre diferentes organizaciones por al menos 6 meses, dentro de los cuáles han extraído información confidencial. Por ejemplo, de acuerdo con CISA (Cybersecurity & infrastructure Security Agency), en 2021 estos actores filtraron documentos y correos electrónicos, relacionados con los productos de la empresa, sus relaciones internacionales con otros países y temas internos.
Algunas recomendaciones para ayudar a prevenir posibles ataques informáticos son:
– Realizar actividades de gestión de vulnerabilidades.
– Realizar operaciones de gestión y respuesta a incidentes.
– Realizar detección y correlación de eventos. Implementar procesos de inteligencia de amenazas y de cacería de amenazas.
– Estar atento a boletines y reportes de ciberseguridad de nuevas ciberamenazas a nivel global.
– Verificar posibles actividades y comportamientos maliciosos.
– Hacer una adecuada gestión de cuentas, control de acceso e identidades.
– Implementar mecanismos de multifactores de autenticación.