Ha habido una reestructuración fundamental en los carteles del ciberdelito gracias a la creciente economía de escala de la Internet oscura. Grupos poderosos de ciberdelincuentes ahora funcionan como corporaciones multinacionales, y los sindicatos de crímenes tradicionales confían en ellos para que lleven a cabo actividades ilícitas como extorsiones y lavado de dinero. Los carteles del ciberdelito están más organizados que nunca y disfrutan de recibir más protección y recursos de los Estados nación que los consideran activos nacionales.
Con esta realidad como escenario de las amenazas que enfrentan las instituciones financieras, fueron entrevistados 130 líderes en seguridad financiera y directores de seguridad de la información (CISO) de todo el mundo para la quinta edición del informe Modern Bank Heists (Ataques bancarios modernos) de VMware. Los hallazgos de este año deberían servir como una advertencia para el sector financiero de que los delincuentes están pasando de solo atacar a también destruir.
La tensión geopolítica está haciendo metástasis en el ciberespacio
Los ciberdelincuentes que apuntan al sector financiero suelen intensificar sus ataques destructivos para eliminar la evidencia y, así, contrarrestar el plan de respuesta a incidentes. El informe reveló que el 63 % de las instituciones financieras sufrieron un aumento en los ciberataques destructivos, un 17 % más que el año pasado. Los ataques destructivos se lanzan de manera punitiva para destruir, dañar o degradar los sistemas de las víctimas a través de medidas como la encriptación de archivos, la destrucción de discos duros, la interrupción de conexiones o la ejecución de códigos maliciosos. De hecho, recientemente, hemos sido testigos de malware destructivo como HermeticWiper, que se lanzó luego de la invasión de Rusia a Ucrania. Notablemente, la mayoría de los líderes financieros con los que hablé cuando realicé este informe, indicaron que Rusia representa la mayor preocupación para su institución.
El año de las RAT
Las instituciones financieras definitivamente no estuvieron exentas de la reciente reaparición del ransomware. El 74 % de los líderes en seguridad financiera sufrieron uno o más ataques de ransomware en el último año, y el 63 % de estas víctimas pagó el rescate. Esta es una estadística alarmante.
Una de las razones por las cuales los sindicatos del crimen tradicional se convirtieron en clientes fieles de la Internet oscura es por el ecosistema bien financiado de kits de ransomware disponibles y listos para su uso. Los carteles del ciberdelito, como la pandilla de ransomware Conti, facilitaron a sus asociados el lanzamiento de ataques de ransomware en industrias críticas como el sector financiero.
Un análisis técnico en el último informe de amenazas de VMware Threat Analysis Unit, brinda un panorama sobre cómo se extendió el ransomware y cómo las herramientas de acceso remoto (RAT) ayudan a los adversarios a ganar control de los sistemas. El ransomware tiene una relación siniestra con estas RAT, ya que estas herramientas permiten a los actores maliciosos continuar dentro del entorno y establecer un servidor de prueba que se puede utilizar para atacar sistemas adicionales. Una vez que el adversario obtiene este acceso limitado, suele trabajar para monetizarlo. Para ello, se vale de los datos de la víctima a fin de extorsionarla (incluida la doble y triple extorsión) o roba recursos de los servicios de nube utilizando ataques de cryptojacking.
La manipulación de los mercados financieros
Los carteles del ciberdelito se dieron cuenta de que el activo más importante de las instituciones financieras es la información privada sobre los mercados. El 66 % (2 de 3) de los líderes que entrevisté sufrieron ataques orientados a las estrategias de mercado, y el 25 % (1 de 4) indicó que los datos del mercado fueron el principal objetivo de los ciberataques en sus instituciones financieras.
¿Qué están buscando exactamente los carteles del ciberdelito? Estamos siendo testigos de la evolución de los ataques bancarios en espionaje económico, donde los ciberdelincuentes apuntan a la información o las estrategias corporativas que pueden afectar el precio de las acciones de una empresa, apenas esto se hace público. Luego, estos datos se pueden utilizar para digitalizar la información privilegiada y hacer una inversión ventajista en el mercado. Nuestro informe también reveló que el 44 % de los ataques Chronos estaban orientados a las posiciones en el mercado. Un ataque de este tipo implica la manipulación de los registros de tiempo, un hecho preocupante teniendo en cuenta el rol crítico que juega el reloj en los mercados.
La defensa es la mejor ofensiva
La seguridad se ha convertido en el problema principal de los líderes del sector financiero. Según los hallazgos de nuestro informe, la mayoría de las instituciones financieras planifican aumentar el presupuesto de seguridad entre un 20 y 30 % este año, así como designar la detección y respuesta extendida como su prioridad principal en la inversión de seguridad.
La persecución moderna de amenazas semanalmente debería adoptarse como una práctica recomendada para ayudar a los equipos de seguridad a detectar anomalías en el comportamiento, ya que los adversarios pueden mantener persistencia clandestina en los sistemas de las organizaciones. El informe reveló que solo el 51 % de las instituciones financieras llevan a cabo persecuciones de amenazas semanalmente hoy en día. Se espera que este porcentaje aumente en el informe del año próximo, ya que este tipo de programas tienen varios beneficios además de encontrar ciberdelincuentes, como promover la inteligencia de detección de amenazas.
