Cada vez que el mundo enfrenta una coyuntura geopolítica, económica o social, el panorama de amenazas cambia. Pero nadie mejor que los atacantes para adaptarse. A continuación, les presento algunos ejemplos.
En 2016 y 2017 muchos grupos trataban de ciberextorsionar a organizaciones mediante denegación de servicio (DDoS/DoS), lanzando un ataque muestra para después demandar cierta cantidad a cambio de no ejecutar ataques que pudieran dejar a la organización fuera por días. La amenaza disminuyó por varias razones, entre ellas las siguientes:
- Estos grupos no siempre cumplían su amenaza cuando la víctima no pagaba.
- Se hizo común la adquisición de servicios de ciberseguridad contra ataques de denegación de servicio, tanto volumétricos a nivel de carrier como aplicativos a nivel local.
- Decayó el hacktivismo.
Así pues, en 2019 hubo meses en los que Scitum no observó ataques DDoS/DoS. Sin embargo, en 2020, cuando un alto porcentaje de la gente está trabajando desde casa por la pandemia del Covid-19, nuevos ciberactores vuelven con un modus operandi similar, haciéndose pasar por grupos bien conocidos como Fancy Bear para intimidar a sus objetivos. Aunque nuevamente no cumplen su amenaza de atacar cuando la víctima elige no pagar, no dejan de causar temor, sobre todo los que sufrieron ataques en 2016-2017, más ahora que requieren mantener funcionales sus enlaces para operar. Esto nos demuestra que incluso vectores como este, que se creía del pasado, puede volver cuando las circunstancias lo permiten.
En 2016, todos los viernes eran de “Exploit kit” pues era muy raro que pasara un viernes sin que se observara un ataque que involucrara uno, como Angler, Neutrino o Rig. Conforme las herramientas de seguridad aprendieron a identificarlos y algunos de sus desarrolladores fueron atrapados y enviados a la cárcel, la amenaza disminuyó radicalmente.
Pero, como siempre, los atacantes se adaptaron y se enfocaron en la ingeniería social, no solo para enviar spear phishing muy bien construido, sino para crear “abrevaderos” (sitios comprometidos que persuaden a la víctima a que instale un artefacto malicioso que usualmente resulta ser un troyano bancario). Pero ahora muchos de estos troyanos bancarios trabajaban solos y cada uno se tenía que preocupar de la manera en cómo podía penetrar una organización, valiéndose regularmente de botnet sofisticadas para su distribución.
La constante desarticulación de las botnet por las áreas de ciberseguridad y las fuerzas del orden dio pie a que los creadores de Emotet, un sofisticado malware para la fase entrega, se uniera a otros troyanos bancarios para pasar desapercibidos para las plataformas de seguridad tradicionales, lo que inició la relación de Trickbot, Dridex y Emotet, y es justo Emotet el que se encarga de llegar al equipo de la víctima sin ser percibido, para posteriormente descargar Trickbot o Dridex.
Con la mejora de los controles en las instituciones financieras, como el uso de Machine Learning para detectar fraudes de una manera más sencilla, Trickbot y Dridex empezaron a encontrar obstáculos para seguir generando las ganancias de antes, así que una vez más se adaptaron y empezaron a distribuir ransomware, no de manera masiva, sino en esfuerzos muy dirigidos en los que se estudia a la víctima por meses antes de cifrar los equipos elegidos; por eso cuando Trickbot se encuentra presente, descarga Ryuk; pero si es Dridex el que fue instalado, entonces lo que se verá es Doppelpaymer.
Otro ejemplo de adaptación: el hecho de que algunas víctimas de ransomware decidan no pagar el rescate, o que incluso se haya vuelto una práctica común que las organizaciones establezcan planes de contingencia, cuenten con respaldos fuera de línea, y trabajen en su resiliencia de manera general, ha ocasionado pérdida de ingresos para los atacantes, lo que los llevó a preguntarse de qué otra manera podrían obtener dinero aun cuando la víctima no quiera pagar por el descifrado de sus datos: el grupo detrás de Maze ransomware fue el primero en amenazar, y hacer efectiva la amenaza de hacer pública información confidencial extraída antes de cifrar los equipos. Al día de hoy, al menos ocho familias de ransomware extraen información de las víctimas para luego publicarla en caso de que no paguen.
Como se mostró con los ejemplos arriba descritos, los atacantes se adaptan, y se adaptan rápido, por lo que no hay una única de manera de hacerles frente. Una vez más tenemos que volver a lo básico y pensar de manera holística, contemplando todas las aristas (personas, procesos y tecnología), buscando una protección en capas que se adapte a los retos del negocio mientras se hace frente a los nuevos vectores de ataque.
Deja tu comentario