Las amenazas persistentes avanzadas, que se centran en los objetivos del ciberespionaje, son una amenaza constante para las empresas, los gobiernos y los activistas por la libertad, por nombrar algunos. Esta actividad sigue creciendo y evolucionando a medida que más actores de amenazas aumentan sus habilidades.
Kaspersky publicó sus predicciones de amenazas avanzadas para 2022 y compartió pensamientos interesantes sobre el panorama del próximo año. Aquí hay ocho amenazas avanzadas que Kaspersky predice que ocurrirán el próximo año.
1. Una afluencia de nuevos agentes de APT
Los recientes casos legales contra empresas de seguridad ofensivas como NSO pusieron el uso de software de vigilancia en el centro de atención. NSO, una empresa israelí que brinda servicios que incluyen seguridad ofensiva, está siendo acusada de proporcionar a los gobiernos software espía que finalmente se volvió contra periodistas y activistas.
Luego de esa acción, el Departamento de Comercio de EE. UU. Informó en un comunicado de prensa que agregó a NSO a su lista de entidades por participar en actividades que son contrarias a la seguridad nacional o los intereses de política exterior de los Estados Unidos. El departamento agregó otras tres empresas a esa lista: Candiru (Israel), Positive Technologies (Rusia) y Computer Security Initiative Consultancy PTE LTD (Singapur).
El mercado de exploits de día cero sigue creciendo, mientras que cada vez más proveedores de software comienzan a vender capacidades ofensivas. Todo este negocio es muy rentable y solo puede atraer a más jugadores al juego, al menos hasta que los gobiernos tomen medidas para regular su uso.
Kaspersky dijo que "los proveedores de malware y la industria de la seguridad ofensiva tendrán como objetivo apoyar a los jugadores antiguos pero también a los nuevos en sus operaciones".
2. Segmentación por dispositivos móviles
El tema de comprometer los dispositivos móviles no es nuevo, pero sigue siendo muy delicado. Kaspersky subrayó una diferencia importante entre los dos principales sistemas operativos de los teléfonos móviles: Android e iOS . Android permite más fácilmente la instalación de aplicaciones de terceros, lo que da como resultado un entorno de malware más orientado a los ciberdelincuentes, mientras que iOS es principalmente el objetivo del ciberespionaje avanzado patrocinado por el estado nacional. El caso Pegasus revelado por Amnistía Internacional en 2021 trajo una nueva dimensión a los ataques de día cero y cero clic de iOS.
La infección de malware es más difícil de prevenir y detectar en dispositivos móviles, mientras que los datos que contiene a menudo son una mezcla de datos personales y profesionales que nunca abandonan a su propietario. IT lo convierte en un objetivo perfecto para un atacante APT.
Kaspersky concluyó: "En 2022, veremos ataques más sofisticados contra dispositivos móviles expuestos y cerrados, acompañados de la inevitable negación de los perpetradores".
3. Más ataques a la cadena de suministro
Este año, el grupo de ransomware REvil / Sodinokibi apuntó a los proveedores de servicios gestionados . Este tipo de ataque es devastador porque permite a un atacante, una vez que compromete con éxito al proveedor, rebotar y comprometer fácilmente a un mayor número de empresas al mismo tiempo.
"Los ataques a la cadena de suministro serán una tendencia creciente en 2022 y más allá", dijo Kaspersky.
4. Trabajar desde casa crea oportunidades de ataque
El trabajo desde casa es necesario para muchos empleados y aún lo será en el futuro previsible, debido a las reglas de bloqueo por pandemia. Esto crea oportunidades para que los atacantes comprometan las redes corporativas. Los ataques de fuerza bruta y de ingeniería social se pueden utilizar para obtener credenciales para los servicios corporativos. Y el uso de equipos personales en el hogar, en lugar de utilizar dispositivos protegidos por los equipos de TI corporativos, facilita las cosas a los atacantes.
Los actores de amenazas buscarán nuevas oportunidades para explotar computadoras domésticas que no están completamente parcheadas o protegidas para ganar un punto de apoyo inicial en las redes corporativas.
5. Geopolítica: aumento de ataques APT en la región META
Las crecientes tensiones en la geopolítica en Oriente Medio y Turquía, y el hecho de que África se ha convertido en la región de urbanización más rápida y atrae enormes inversiones, son factores muy probables que aumentarán el número de grandes ataques APT en la región META, especialmente en África.
6. Seguridad en la nube y servicios subcontratados en riesgo
La seguridad en la nube ofrece muchas ventajas para las empresas de todo el mundo, sin embargo, el acceso a este tipo de infraestructura generalmente se encuentra en una sola contraseña o clave API. Además, los servicios subcontratados como el manejo de documentos en línea o el almacenamiento de archivos contienen datos que pueden ser muy interesantes para un actor de amenazas APT.
Kaspersky dijo que esos "atraerán la atención de los actores estatales y emergerán como objetivos principales en ataques sofisticados".
7. Volver a los bootkits
Los atacantes a menudo han rechazado los bootkits de bajo nivel porque existe un mayor riesgo de causar fallas en el sistema. Además, se necesita mucha más energía y habilidades para crearlos. La investigación ofensiva sobre bootkits está viva y coleando, y se esperan implantes más avanzados de este tipo. Además, con el arranque seguro cada vez más frecuente, "los atacantes necesitarán encontrar exploits o vulnerabilidades en este mecanismo de seguridad para evitarlo y seguir implementando sus herramientas", dijo Kaspersky.
8. Aclaración de las prácticas aceptables de delitos cibernéticos
En 2021, la guerra cibernética hizo que las acusaciones legales se usaran más como parte del arsenal en las operaciones del adversario.
Sin embargo, los estados que denuncian las operaciones de APT a menudo realizan las suyas propias al mismo tiempo. Aquellos deberán "crear una distinción entre los ciberataques que son aceptables y los que no lo son". Kaspersky cree que algunos países publicarán su taxonomía de delitos cibernéticos en 2022, detallando qué tipos de vectores y comportamientos de ataque están fuera de los límites.
¿Qué amenazas de ciberseguridad ocurrieron en 2021?
Este año ha visto muchos tipos de amenazas que sacudieron a la comunidad de ciberseguridad. Aquí hay seis amenazas de 2021 que hemos visto, según Kaspersky.
1. Más vínculos entre las APT y los mundos de la ciberdelincuencia. Varios actores de amenazas de ransomware están utilizando exactamente los mismos métodos que los atacantes APT: comprometer un objetivo, moverse lateralmente a través de la red, aumentar los privilegios y extraer datos (antes de cifrarlos). Recientemente, Blackberry informó una conexión entre tres actores de amenazas diferentes que usaron inusualmente el mismo Agente de acceso inicial. De esos tres actores que utilizaron el mismo servicio, dos se dedicaban a actividades de ciberdelito financiero, mientras que el tercero era en realidad un actor de amenazas APT apodado StrongPity .
2. Ciberestrategia: Acusaciones en lugar de canales diplomáticos. Los países comienzan a usar más la ley para tratar de interrumpir y castigar las operaciones del adversario, cuando corresponde. Kaspersky proporcionó varios ejemplos, uno de los cuales fue la Casa Blanca que culpó a Rusia por el ataque a la cadena de suministro de SolarWinds . Un cambio es claramente visible donde los incidentes de APT ahora se manejan a través de medios legales en lugar de canales diplomáticos como se hacía anteriormente.
3. Más acciones contra los brokers de día cero. El mercado de día cero nunca ha sido tan visible como en los últimos años. Varias empresas ahora venden exploits de día cero a gobiernos o terceros, y una de ellas ha sido el objetivo de una batalla legal conjunta iniciada por Facebook, Microsoft, Google, Cisco y Dell.
4. La segmentación por dispositivos de red aumentará. En 2021, el actor de amenazas APT31 aprovechó una red de enrutadores SOHO comprometidos (modelos Pakedge RK1, RE1, RE2) . Esos enrutadores se utilizaron como proxies para sus operaciones APT, pero también a veces como servidores de comando y control. Según una publicación reciente de Sekoia, el actor de amenazas también podría haber comprometido algunos otros dispositivos de red en su infraestructura . Además, los servicios de VPN siguen siendo un objetivo. El actor de amenazas APT10 aprovechó las vulnerabilidades dirigidas a Pulse Connect Secure para secuestrar sesiones de VPN .
5. Más disrupción. El ataque de ransomware a Colonial Pipeline ha sido uno de los eventos más emblemáticos de 2021. La producción se vio afectada, lo que provocó problemas de suministro en EE. UU. Y obligó a la infraestructura a pagar un rescate de 4,4 millones de dólares. Afortunadamente, el Departamento de Justicia de Estados Unidos podría recuperar 2,3 millones de dólares de esa cantidad. En otro caso en 2021, MeteorExpress, un malware que inutilizó el sistema ferroviario iraní .
6. Explotación pandémica. El tema COVID-19 se volvió ampliamente utilizado, incluso para varios actores de amenazas APT. Este tema se puede utilizar para el compromiso inicial de objetivos, en campañas de spear-phishing , por ejemplo.
Fuente: https://www.techrepublic.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios