Parecía que apenas nos recuperábamos de las consecuencias del ataque masivo a SolarWinds y ahora de súbito ha pasado un año desde uno de los más grandes ciberataques ciberataques de la historia y vamos hacia otra amenaza cuyas consecuencias pueden durar años .
El 2021 se sintió como un golpe tras otro a la comunidad de ciberseguridad. Tuvimos de todo: desde oleoductos desconectados de manera masiva hasta ser testigos de cómo se vio filtrado el código fuente de la plataforma de streaming Twitch.
Aún no hay forma de predecir a detalle cómo se comportarán los actores de amenazas durante 2022, pero anticipamos que seguirá habiendo una profesionalización de los ciber adversarios con el respectivo ciber riesgo asociado y seguirá creciendo el ransomware. Por ello, vale la pena mirar atrás y conocer algunos de los momentos de ciberseguridad más destacados en 2021 para así estar preparados ante lo que pueda venir en este nuevo año.
Enero
Si bien el ataque a la cadena de suministro de SolarWinds surgió inicialmente en diciembre de 2020, seguimos viendo los efectos en el inicio de 2021, cuando todavía había muchas preguntas sin respuesta.
Los cazadores se convirtieron en presa a medida que los investigadores de ciberseguridad de toda la industria comenzaron a convertirse en objetivos de ciber actores patrocinados por estados-nación. Incluso varios analistas de Talos estuvieron entre las personas objetivo a través del envío de ligas maliciosas y mensajes en redes sociales con cuentas falsas buscando información.
Febrero
Hablamos con un operador del ransomware Lockbit para discutir su historia con campañas de malware. Esto proporcionó información valiosa dentro del panorama general del ransomware-as-a-service y significó una extraña fuente de primera mano para entender mejor cómo los atacantes eligen sus objetivos.
La tendencia de malware sin archivos comenzó a notarse con el troyano Masslogger. Esta variante de troyano específicamente se enfocó en robar credenciales de acceso para navegadores de internet y otros sitios altamente sensibles.
A lo largo de 2021, vimos una tendencia de responsables de amenazas trabajando esencialmente para el mejor postor. Ellos no estaban patrocinados por un estado-nación persiguiendo otros países, pero se beneficiaron de la protección (o inacción) del país en el que se basaban y al final terminaron trabajando con quien les ofreciera más recursos. Un ejemplo fue la evolución de Gamaredon.
Marzo
Justo cuando todavía estábamos descifrando SolarWinds, la amenaza HAFNIUM llegó y captó la atención al enfocarse en diversas vulnerabilidades zero-day para Microsoft Exchange Server.
“ProxyLogon,” una de las vulnerabilidades dadas a conocer como parte de esta campaña, fue la más peligrosa. Un atacante podía explotarlo como parte de una cadena de vulnerabilidades para eventualmente tomar el control completo del servidor objetivo. No hace falta decir que eso Sobra decir el impacto operacional que puede representar un ataque de ese estilo.
Abril
A pesar de que las vacunas para COVID-19 estaban mayormente disponibles en este punto del año, no había señales de un regreso “normal” a la oficina. Los trabajadores remotos continuaron usando aplicaciones de colaboración como Slack y Discord para comunicarse, pero los atacantes se adaptaron rápidamente utilizando servidores válidos pertenecientes a estos servicios de mensajería para propagar malware.
Mayo
LemonDuck, la botnet para minería de criptomoneda que fue descubierta en 2020, se ha modernizado y comenzó a enfocarse en vulnerabilidades de servidores de Exchange sin actualizar y añadió Cobalt Strike como sistema de Comando y Control a su arsenal.
¿Recuerda los cambios de Gamaredon? Resulta que no era la única amenaza patrocinada por un estado-nación, pero tampoco se trataba de un grupo de ciber criminales actuando en solitario tratando de moverse fuera del radar. Al final les dimos un nombre: “Privateers.”
DarkSide, el grupo de ciber adversarios especializado en ransomware, puso la mira en el Colonial Pipeline, el oleoducto más grande de la Costa Oeste en Estados Unidos. Varios estados se quedaron sin combustible en sus estaciones de bombeo a los pocos días y quienes lo tenían sufrieron un alza en los precios. Lo anterior terminó siendo una poderosa llamada de atención para la seguridad de infraestructura crítica en Estados Unidos.
Junio
Semanas después del ataque al Colonial Pipeline, DarkSide se desvaneció, habilitando su portal de pagos y anunciando que quedarían inactivos a partir de ese momento. Al final este grupo de ciber adversarios cambió de nombre y volvió como BlackMatter.
JBS, un distribuidor masivo de carne a nivel mundial sufrió un ataque de ransomware y al final pagó US$11 millones por la extorsión. A pesar de que las operaciones no fueron afectadas, dicho ataque creó pánico entre los consumidores ocasionando compras intempestivas de carne en tiendas de Estados Unidos ante el temor de una escasez generalizada.
Julio
Otro mes y otro conjunto de zero-days de Microsoft. Esta vez los atacantes comenzaron explotando lo que se conoció como “PrintNightmare,” una vulnerabilidad en los servicios de impresión Print Spooler de Windows.
El 4 de julio, día festivo en Estados Unidos, no lo fue para los investigadores de ciberseguridad quienes tuvieron que enfrentar otro ataque a una cadena de suministro. Esta vez los ciber adversarios fueron sobre el proveedor de servicios administrados Kaseya ocasionando un ataque de cadena de suministro para infectar a sus víctimas con el ransomware REvil.
Agosto
PrintNightmare volvió a aparecer, esta vez explotado por Vice Society, otro grupo relativamente nuevo de ciber adversarios dedicados al ransomware. Cisco Talos Incident Response descubrió múltiples organizaciones que fueron víctimas de ransomware como resultado de notables tácticas, técnicas y procedimientos (TTPs) para explotar la conocida vulnerabildad.
A medida que el compartir aplicaciones se volvió incrementalmente popular, los atacantes encontraron formas para realizar estafas. Dichas apps permiten a sus usuarios ganar unos cuantos centavos por el ancho de banda que “prestan” a otros usuarios, pero también abundan los actores maliciosos que toman ventaja como lo descubrió nuestra investigación.
Septiembre
Un cibercriminal falsifica el sitio de Amnistia Internacional para difundir un software ”anti-virus” que supuestamente elimina el temido spyware Pegasus de los dispositivos móviles. Pero lejos de eso, distribuía el malware y robaba la información personal de sus víctimas.
La telenovela ransomware-as-a-service comenzó una nueva temporada cuando un miembro descontento de Conti group filtró su libro de tácticas. Ello ofreció muchas ideas de cómo Conti opera y abrió una extraña ventana a estos grupos.
El grupo de ciber adversarios ruso Turla APT añadió una nueva puerta trasera a su arsenal que esencialmente servía como el último esfuerzo para permanecer en las máquinas de la víctima.
Octubre
Hablar de un duo poco común, ardillas y wafles se unieron para un spam llamado SQUIRRELWAFFLE , sin duda fue la mascota de malware más simpática pero no por ello menos dañina.
Noviembre
En otro round de vulnerabilidades de zero-day, Microsoft advierte sobre ataques activos enfocados en Windows Installer que puede permitir a un atacante elevar sus privilegios como administrador. Mientras tanto, una vulnerabilidad en el Servidor de Exchange sigue siendo explotada con Babuk ransomware a través de un nuevo ciber adversario denominado Tortilla.
Las autoridades de Estados Unidos arrestan a dos individuos por su presunta participación en el ataque de cadena de suministro a Kaseya como parte del grupo de ciber adversarios REvil. También ofrece una nueva recompensa de 10 millones de dólares por cualquier información que lleve al arresto del líder de REvil.
Un proyecto de ley para infraestructura por 1 trillón de dólares se convierte en ley en Estados Unidos abriendo un nuevo fondo para ciberseguridad por hasta 2 mil millones . Los gobiernos locales podrán solicitar subvenciones durante 2022 para reforzar el entrenamiento en seguridad de infraestructura crítica y ciberseguridad.
Después de “derribar” Emotet a principios de año, el botnet vuelve a mostrar signos de vida .
Diciembre
Talos descubre una serie de campañas de malware ocasionadas por un actor que hemos denominado “Magnat.” Su arsenal incluye extensiones falsas del explorador de Google Chrome.
La vulnerabilidad Log4j arruinó las fiestas de muchos profesionales de la ciberseguridad forzando a los ciber defensores a trabajar horas extra y a los desarrolladores a parchar, parchar y parchar otra vez entre un mar de nuevas versiones.
Yair Lelis, Director de Cyberseguridad de Cisco México.