COMENTARIO
La guerra cibernética a menudo refleja los conflictos tradicionales, pero a medida que las tensiones geopolíticas globales continúan aumentando, el panorama de los actores nacionales de las ciberamenazas ha cambiado significativamente. Los acontecimientos recientes han provocado un cambio en las tácticas, los objetivos y los patrones de ciberataques patrocinados por el estado. Si bien históricamente estos actores de amenazas se centraron principalmente en infraestructura crítica y entidades gubernamentales como redes de energía y transporte, los actores de amenazas estatales actuales han ampliado su ámbito de acción dentro de la empresa.
Este panorama de amenazas en evolución ahora requiere que las empresas fortalezcan su postura de seguridad y se preparen para ataques sofisticados a nivel de estado-nación. La emergencia es real: muy recientemente, grupos adversarios como Hormiga de terciopelo, Emperador fantasmaY Voltio del tifón Se han detectado ataques dirigidos a grandes organizaciones, intentando exfiltrar datos confidenciales y causar estragos en sistemas críticos. Está claro que los actores estatales que amenazan están emergiendo de las sombras hacia el centro de atención, y sus amenazas ya no están en el horizonte: están sobre nosotros.
Objetivos en expansión: empresas bajo asedio
En los últimos 12 meses, una escalada de los conflictos tradicionales ha llevado a un aumento de los ciberataques. Por ejemplo, a medida que Irán suministra más armas a Rusia y Estados Unidos y Europa continúan imponiendo sanciones adicionales contra el país mientras equipan a Ucrania con capacidades militares avanzadas, podemos esperar un aumento de los ciberataques en varios sectores. La vulnerabilidad de las infraestructuras críticas a las ciberamenazas y al aumento de las tensiones geopolíticas es visible después de la crisis de 2021. Ataque al oleoducto colonialdonde los acuerdos anteriores entre el presidente estadounidense Biden y el presidente ruso Vladimir Putin para reducir los ciberataques a infraestructuras críticas fueron rápidamente abandonados con el estallido de la guerra en Ucrania.
A medida que las organizaciones digitalizan sus servicios y operaciones, la naturaleza interconectada de las empresas y la infraestructura globales –así como la gran cantidad de datos confidenciales que recopilan y almacenan– también ha convertido a más empresas en objetivos atractivos para los actores estatales de amenazas. Estamos viendo cada vez más ataques de Estados-nación, en sectores desprevenidos como el derecho, los medios de comunicación, las telecomunicaciones, la atención sanitaria, el comercio minorista y la logística de la cadena de suministro, debido a los datos confidenciales que procesan.
Estas empresas poseen propiedad intelectual valiosa (es decir, información de clientes, patentes y contratos exclusivos) y a menudo están conectadas a redes más amplias de afiliados y proveedores. Un solo ciberataque podría proporcionar las “llaves de los reinos” (acceso no detectado a cientos de sistemas críticos y datos confidenciales) que luego serían explotadas por entidades respaldadas por el gobierno para afianzarse en nuevos mercados y socavar la competencia.
Misión y retorno de la inversión: diferenciar a los actores de amenazas estatales de los grupos de ransomware
La clave para defenderse de la amenaza de un Estado-nación es reconocer primero los diferentes motivos y objetivos del actor amenazante. A diferencia de los grupos de ransomware que se basan principalmente en el retorno de la inversión (ROI) y, por lo tanto, eligen apuntar a cientos de empresas mientras esperan que una muerda, los atacantes de los estados-nación tienen recursos extremadamente grandes, están impulsados por una misión y se centran en ataques a largo plazo. . objetivos a largo plazo como robar secretos comerciales, inteligencia militar o información personal de alto perfil. Otros motivos incluyen operaciones de desinformación, interrupción de infraestructura crítica y ganancias financieras estatales bajo la apariencia de ataques de ransomware.
Comprender la destreza técnica de los actores estatales
Los actores estatales de amenazas tienen el tiempo, la experiencia técnica y la perseverancia para lograr sus objetivos específicos: han planeado una operación muy específica para adquirir conocimiento a través de medios sigilosos y persistentes, a menudo moviéndose lateralmente a través de las redes para evitar ser detectados y reinfiltrándose en las redes repetidamente. después de haber sido erradicado. Trabajan diligentemente para ocultar sus huellas a los análisis forenses digitales y llegan incluso a alterar registros de seguridad, desactivar herramientas, cifrar sistemas y cambiar marcas de tiempo, lo que dificulta la atribución y diferenciación de su grupo y dificulta las investigaciones.
Grupo de amenaza chino-NexusApodado Velvet Ant por Sygnia, demostró una perseverancia excepcional al establecer y mantener múltiples puntos de apoyo en el entorno de su víctima, aprovechando nuevas técnicas y el uso de diferentes tecnologías para escapar de la detección. Uno de los métodos utilizados para esta persistencia fue aprovechar un dispositivo F5 BIG-IP más antiguo, expuesto a Internet y utilizado como sistema interno de comando y control (C&C). El principal objetivo de esta campaña era mantener el acceso a la red objetivo con fines de espionaje.
Asimismo, un rootkit Demodex conocido por ser utilizado por Emperador fantasmaun sofisticado actor estatal identificado por primera vez por Kaspersky en 2001, había resurgido en la empresa, intentando llevar a cabo un ataque a gran escala en 2023. El actor de amenazas comprometió servidores, estaciones de trabajo y cuentas de usuarios al implementar el rootkit avanzado y aprovechar las herramientas de código abierto disponibles. en Internet para comunicarse con una red de servidores de comando y control (C2), a fin de evitar la atribución.
Navegando por un panorama cibernético más complejo
Detectar y combatir a los actores estatales que amenazan en la empresa es una guerra continua, no solo una batalla. Las organizaciones más maduras cibernéticamente evalúan y protegen sus activos digitales críticos, priorizan la visibilidad de la red y toman sistemáticamente medidas concretas para fortalecer su ciberresiliencia e higiene ante un ciberataque. Otros ejemplos de estrategias clave incluyen:
-
Ensaye periódicamente varios escenarios de amenazas. definir claramente los roles de respuesta, a nivel técnico y ejecutivo, y garantizar un enfoque transparente y coordinado en las primeras 24 horas más críticas de una crisis.
-
Utilice y optimice su pila de seguridadpriorizar inversiones en herramientas que detecten anomalías y proporcionen una visión holística y granular de sus redes y sistemas, porque no se puede encontrar lo que no se busca.
-
Revisión de herramientas de detección de amenazas con inteligencia artificial y capacidades de automatización como parte de sus estrategias de defensa para reducir costos y acelerar las investigaciones forenses digitales.
Contrarrestar a los actores de amenazas estatales a nivel empresarial requiere algo más que preparación e inversiones en ciberseguridad: requiere un esfuerzo de colaboración. Antes de que ocurra una crisis, las organizaciones deben establecer relaciones de manera proactiva con agencias gubernamentales y pares de la industria. Al fomentar la comunicación abierta y compartir ideas y experiencias, las empresas pueden fortalecer la comunidad de seguridad en general y fortalecer las defensas colectivas contra estas amenazas sofisticadas a nivel de estado-nación.