La invasión de Ucrania está mostrando al mundo el significado de una "guerra híbrida". El término fue creado por Frank Hoffman, para describir una guerra que se desarrolla en múltiples frentes: guerra convencional, métodos irregulares, por ejemplo, asignaciones, y ataques cibernéticos. A medida que se desarrolle esta espeluznante muestra de agresión, los aspectos digitales de la guerra moderna afectarán a muchas empresas de todo el mundo.
Mientras las sirenas suenan en Ucrania, las organizaciones también deben dar la alarma sobre sus medidas de ciberseguridad. Esto es lo que las organizaciones se enfrentan en esta guerra híbrida.
Una historia maliciosa: "Tengan miedo y esperen lo peor"
Rusia tiene un largo historial de uso de los ciberataques como táctica para ejercer presión y librar una guerra por delegación. Los grupos de piratas informáticos rusos respaldados por el Estado son famosos por sus ciberataques masivos contra organizaciones occidentales. Uno de los mayores de los últimos años fue el ataque de ransomware de 2021 contra eloleoducto estadounidense Colonial Pipeline por parte de la banda de hackers REvil.
Más recientemente, 70 sitios web del gobierno ucraniano fueron desfigurados en un ciberataque con un mensaje de advertencia en pantalla que decía "tenga miedo y espere lo peor". Un análisis del ataque encontró indicios de que la inteligencia rusa estaba involucrada; sin embargo, Rusia ha negado desde entonces su participación.
La negación y la desinformación son las típicas tácticas de guerra que utiliza la confusión para "dividir y conquistar". Sin embargo, las pruebas se acumulan: El 74% del dinero extorsionado por los ataques de ransomware en 2021 fue enviado a hackers con asociaciones rusas. En retrospectiva, debemos preguntarnos si este dinero se reservó como fondo de guerra.
A medida que la invasión de Ucrania se ha ido desarrollando, se han llevado a cabo nuevos ciberataques contra el gobierno ucraniano. Una declaración del blog de Microsoft del28 de febrero ofrece más información:
"El24 de febrero, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) detectó una nueva ronda de ciberataques ofensivos y destructivos dirigidos contra la infraestructura digital de Ucrania."El blog menciona que se ha encontrado una nueva variante de malware "FoxBlade" como parte de estos ataques.
Una cosa es muy probable, la invasión de Ucrania es una guerra híbrida, y los ciberataques no serán contenidos dentro de Ucrania.
Sirenas de advertencia de nuevos ciberataques
Se han publicado avisos y advertencias en todo el mundo, alertando a las empresas para que esperen una mayor amenaza de ciberataques:
En el Reino Unido, el Centro Nacional de Ciberseguridad (NCSC) ha publicado un aviso en su página web en el que insta a las empresas británicas a reforzar su "resistencia de ciberseguridad en respuesta a los incidentes cibernéticos maliciosos en Ucrania y sus alrededores"."
En los Estados Unidos, la CISA (Agencia de Seguridad Cibernética y de Infraestructuras) ha publicado una advertencia bajo su campaña 'Escudos' sobre un nuevo grupo de ransomware, Conti, con vínculos con la inteligencia rusa:
"Los actores del ransomware Conti amenazan con "medidas de represalia" dirigidas a infraestructuras críticas en respuesta a "un ciberataque o cualquier actividad bélica contra Rusia."
En Australia, el estado de alerta ante un ciberataque es ALTO y el gobierno afirma que se "animaa las empresas a adoptar urgentemente una posición de ciberseguridad reforzada".
Asimismo, en todos los países europeos, los gobiernos están advirtiendo a las organizaciones y a los ciudadanos que se preparen para un ciberataque.
Una de las preocupaciones sobre la facilidad con la que se llevarán a cabo estos ciberataques es que los ciberdelincuentes respaldados por Rusia han pasado años construyendo sus conocimientos de malware y llevando a cabo el reconocimiento de tácticas de ataque exitosas.
Nuevos programas maliciosos, tácticas exitosas
Ya se han identificado varias nuevas variantes de malware asociadas a bandas de hackers rusas. Parece que se basan en el borrado de datos y/o el ransomware y son extremadamente dañinos. Algunos ejemplos son HermeticWiper, y WhisperGate malware, que corrompe y/o borra los datos por completo. Otro, HermeticRansom, utiliza técnicas de extorsión para aumentar el impacto dañino del malware.
Otras investigaciones también han descubierto que se están utilizando "gusanos" de malware. Los gusanos son especialmente peligrosos, ya que una vez que entran en un sistema, se autorreplican y se propagan por la red, infectando máquinas y causando destrucción en toda la red. Uno de los últimos descubrimientos se llama HermeticWizard, un gusano utilizado para distribuir el malware HermeticWiper.
Los gusanos se introducen en la red mediante diversos métodos, como el correo electrónico, las memorias USB, los enlaces maliciosos en las redes sociales o los dispositivos IoT inseguros, entre otros.
Es probable que otras variantes de malware entren en el panorama de las amenazas a medida que la guerra continúe.
El CISA y el FBI han publicado un aviso conjunto que explica los peligros de algunas de las últimas variantes de malware. El aviso insta a las organizaciones a:
"...aumentar la vigilancia y evaluar sus capacidades que abarcan la planificación, la preparación, la detección y la respuesta para un evento de este tipo".
Estas nuevas variantes de malware seguirán dependiendo de tácticas establecidas con éxito, como el phishing y la ingeniería social, para entrar en una red. Entonces, ¿cómo se prepara una empresa para esta guerra híbrida?
Acciones para proteger a su empresa y a sus empleados
Los ciberdelincuentes que están detrás de esta oleada de malware de guerra cibernética utilizarán métodos probados para infectar de forma rápida y eficaz. Las organizaciones deben utilizar los conocimientos de la industria de la seguridad para cerrar las escotillas. Las acciones de mitigación deben incluir lo siguiente:
- Asegúrese de tener visibilidad de todos sus activos de TI, incluidos todos los puntos finales, el almacenamiento y los flujos de datos, los servidores y otros dispositivos.
- Asegúrese de que su red ampliada cuenta con sólidas medidas de seguridad asociadas a los dispositivos, las personas y las ubicaciones. Por ejemplo, aplique una autenticación sólida y utilice los principios de mínimo privilegio aplicados mediante la gestión de acceso privilegiado (PAM) para controlar el acceso.
- Pruebe sus sistemas de gestión de parches para asegurarse de que llegan a todos los puntos finales y servidores.
- Establezca o pruebe un sistema de copia de seguridad existente y seguro.
- Ponga a su empresa en alerta máxima y respáldela con una formación de concienciación sobre la seguridad centrada en la amenaza: aumente su formación con la evaluación continua de la situación y utilice simulaciones de phishing para educar a su personal sobre las probables campañas de phishing asociadas a la invasión.
- Supervise la actividad de su red y los puntos de acceso y compruebe el acceso a los puertos en busca de posibles vulnerabilidades.
- Elimina o desactiva las aplicaciones que no utilices.
- Revise, actualice y mejore su planificación y estrategia de recuperación de desastres
Estas son algunas de las áreas clave que necesitan ser reforzadas en este momento de mayor amenaza.
Prepárese para los ataques de represalia
Ahora también se advierte que un ciberataque a un Estado miembro de la OTAN provocaría la activación del artículo 5, de su cláusula de defensa colectiva. La guerra digital y la guerra convencional pueden acabar convergiendo al comenzar la escalada. Los ataques de represalia son una alta probabilidad, y la mejor defensa es la concienciación y la preparación.
