En general, estos grupos operan como una cadena de producción invisible en la que distintas personas o grupos proveen diferentes partes de un código malicioso que, finalmente, puede ser utilizado para provocar caos, ya sea encriptando/ destruyendo información o causando disrupciones a las plataformas que controlan sistemas industriales. En este caso, este grupo obtuvo una recompensa de US$90 millones por este “trabajo”.
Este tipo de ataques tiene su origen en el año 2010 con Stuxnet, cuando un grupo de atacantes israelíes tuvo éxito en detener el avance de Irán en su producción de Uranio enriquecido. Si bien el vector de ataque (un USB dejado para que los científicos iraníes con curiosidad lo conectaran a sus equipos) es distinto, la filosofía es similar.
El caso de Colonial Pipeline tiene varios puntos curiosos: los atacantes declararon que su intención no era bajar el servicio, pero el ransomware se salió de control y pedían las disculpas del caso (igual insistieron en el pago de una recompensa). Por otro lado, el gobierno de EEUU se movilizó para recuperar el suministro de petróleo y un mes después declaraba que había logrado recuperar US$2,5 millones de lo pagado (serían parte de los “costos” del negocio para el grupo de hackers).
¿Cómo funcionan los grupos de hackers que producen ataques?
Los operadores criminales detrás de una amenaza utilizan todo el espectro de tecnologías y técnicas de intrusión de computadores: componentes de malware generados a partir de kits comúnmente disponibles, o el uso de software de explotación fácilmente adquirido. Asimismo, sus operadores generalmente pueden acceder y desarrollar herramientas más avanzadas según sea necesario. Combinan múltiples metodologías y herramientas de ataque para alcanzar y comprometer su objetivo. Hoy se puede encontrar toda una industria de Malware As a Service, donde se puede comprar un malware personalizado, para la brecha de antivirus de la empresa objetivo.
Los operadores delictivos dan prioridad a una tarea específica en lugar de buscar oportunamente ganancias financieras inmediatas. Esta distinción implica que los atacantes son guiados por entidades externas. El ataque se realiza a través del monitoreo continuo y la interacción con el fin de lograr los objetivos definidos. No significa un aluvión de ataques constantes y actualizaciones de malware. De hecho, un enfoque de “baja y lenta” suele ser más exitoso.
¿Por qué ocurre?
Este tipo de ataques se produce porque cada vez más las redes industriales y los sistemas Scada necesitan estar más conectados a Internet. Se requiere tener conexión para que proveedores externos puedan soportar los equipos o bien para entregar información de gestión de una planta u operarla remotamente, etc.
Anatomía de un ataque – Etapas
1. El delincuente cibernético, o actor de amenazas, obtiene acceso a través de una vulnerabilidad de correo electrónico, red, archivo o aplicación e inserta malware en la red de una organización. La red se considera comprometida, pero no violada.
2. El malware avanzado busca un acceso a la red y vulnerabilidades adicionales o se comunica con los servidores de comando y control (C&C) para recibir instrucciones adicionales y / o códigos maliciosos.
3. El malware generalmente establece puntos de compromiso adicionales para garantizar que el ataque cibernético pueda continuar si se cierra un punto.
4. Una vez que un actor de amenazas determina que ha establecido un acceso de red confiable, recopila datos de destino, como nombres de cuentas y contraseñas. Aunque las contraseñas a menudo están cifradas, el cifrado puede ser descifrado. Una vez que eso sucede, el actor de amenazas puede identificar y acceder a los datos.
5. El malware recopila datos en un servidor de ensayo, luego filtra los datos fuera de la red y bajo el control total del actor de amenazas. En este punto, la red se considera violada.
6. Se eliminan las pruebas del ataque APT, pero la red permanece comprometida. El delincuente cibernético puede regresar en cualquier momento para continuar con la violación de datos.
¿Cuál es el modelo de protección?
El ataque se puede detectar en varios puntos de su ejecución; el resultado no es consecuencia de un evento específico si no de “una serie de eventos desafortunados”. Es importante poder detectar el ataque en una de las etapas previas al resultado final. Una vez que el ataque es detectado es importante: (1) contener el ataque y evitar la propagación del mismo (los expertos en este tema rápidamente entienden la naturaleza del ataque y bloquean puertos y dificultan su expansión a través de una serie de técnicas); (2) remediación, eliminando la amenaza (3) recuperación, es decir, dar continuidad al servicio que está siendo atacado; (4) asegurar que se erradicó 100% la amenaza y generar un reporte post-incidente donde se indiquen las acciones que se deben llevar a cabo para evitar que esto pueda ocurrir nuevamente.
Ahora bien, las empresas están implementando varias formas de protegerse, dentro de las que están marcando tendencias están:
Zero Trust: Es una iniciativa estraté- gica que ayuda a prevenir brechas de información al eliminar el concepto de confi anza en la arquitectura de red de una organización. Básicamente, se trata de no confi ar en nadie hasta que se pruebe lo contrario. Es un concepto que lleva años en el ámbito de la ciberseguridad, pero la difusión del perímetro ha tomado más relevancia. En particular, la gestión de identidades es un pilar básico de la implementación de una política de Zero Trust, básicamente un “sistema integrado de políticas y procesos organizacionales que pretende facilitar y controlar el acceso a los sistemas de información y a las instalaciones”. Es decir, quién puede acceder a qué, cuándo y qué puede hacer.
Microsegmentación: Básicamente evita movimientos laterales de los ataques de ciberseguridad. En general, lo que se ha hecho históricamente es aislar las redes unas de otras para evitar que un atacante se mueva entre ellas. Esto ha ido evolucionando y se ha llevado al ámbito lógico donde se divide el centro de datos en distintos segmentos de seguridad, hasta el nivel de carga de trabajo individual, y luego se definen controles de seguridad y brindan servicios para cada segmento único.
SASE, Secure Access Service Edge: Es una arquitectura de red que combina capacidades WAN con funciones de seguridad nativas de la nube, como puertas de enlace web seguras, agentes de seguridad de acceso a cloud, firewalls y conexión a la red de confianza cero.
SOAR, Security Orchestation, Automation and Response Platforms: Son soluciones que agregan asistencia a los operadores de seguridad humana, tomando entradas de diversas fuentes y aplicando flujos de trabajo alineados a los procesos. Luego, esos procedimientos pueden ser orquestados, a través de integraciones con otras tecnologías. Asimismo, SOAR ayuda a que los equipos de seguridad agreguen automatización mediante la creación de playbooks predefinidos.
La problemática de ciberseguridad está cada vez más en el ámbito de los directorios y se necesita que la conversación del negocio está alineada con la conversación de ciberseguridad. Cada organización debe definir el nivel de riesgo que quiere asumir, después de eso debe priorizar las actividades que debe realizar para mitigar, aceptar o transferir ese riesgo mediante un plan que considera actividades e inversiones.
