Una nueva era de amenazas cibernéticas: La influencia de la guerra en Ucrania

Hyppönen de Withsecure, son algunos de los expertos sobre la ciberguerra con los cuales Computer Sweeden hablo con ellos para descubrir cómo el conflicto ha cambiado tanto la seguridad cibernética como el panorama de amenazas.

Se ha visto la importancia de la ciberseguridad, lo que ha hecho que las fuerzas armadas occidentales ahora están redefinan sus estrategias lo que hace que Ucrania sea exitosa en la defensa de su sistema, uno de los factores mas importantes es poder compartir la información entre empresa y autoridades.

Los temidos ataques cibernéticos a gran escala contra la infraestructura de países occidentales aún no han ocurrido. Podría ser que todos los recursos de Rusia se estén utilizando en Ucrania, que se estén “ahorrando” para una etapa posterior o que la protección haya sido exitosa. Pero no se puede bajar la guardia.

Marcus Murray: “Grupos de hackers activos en Occidente como nunca”

Marcus Murray, fundador de Truesec, cuenta que la empresa de ciberseguridad sueca tuvo un papel en el inicio de la guerra al asegurar información sobre partes vitales de la sociedad, como registros de pasaportes, ciudadanos y propiedades, almacenados en centros de datos en Kiev. Puesto que las primeras predicciones indicaban que Rusia tomaría la capital en solo unos días, era urgente subir la información a la nube.

“Se trataba de salvar las bases de datos del país. Esos datos no existen en ninguna carpeta. Fue más fácil decirlo que hacerlo, ya que se trataba de enormes cantidades de datos, pero se logró”, Asegura Murray. “Una lección aprendida de esto es que el debate que se tiene en casa sobre lo que es aceptable almacenar en la nube se puso en una perspectiva completamente diferente”

La conclusión sobre el tema continúa, es que las fuerzas de defensa de Suecia y otros países necesitan redefinir y actualizar sus planes de defensa. Ahora se sabe lo importante que es la ciberseguridad en la guerra, antes solo se podía creer.

Ucrania ha sido el principal afectado de los miles de ciberataques desde el inicio de la guerra, desde campañas de influencia hasta sabotajes, pero también los aliados del país han sufrido, incluyendo a Suecia. El grupo que se hace llamar Anonymous Sudan, detrás de una serie de ataques de denegación de servicio contra organizaciones suecas en las últimas semanas, consiste en una red de actores rusos con enfoque en Ucrania, estos ataques se han visto claramente relacionados con la solicitud de membresía de Suecia en la OTAN.

El cada vez más hostil paisaje geopolítico ha llevado a grandes cambios en la ciberseguridad y la amenaza. Las fronteras han avanzado, los grupos de hackers rusos han estado activos en Occidente como nunca. Esto a su vez ha creado una reacción por parte de los grupos en Occidente. China también ha avanzado en posiciones, lo cual ha hecho notar que ha habido una gran escalada por parte de estados, grupos e individuos con habilidades digitales.

Esto seguirá aumentando, ahora se está discutiendo en la Duma rusa si se deben legalizar los delitos cibernéticos si están en línea con los intereses rusos. Además, las sanciones significan que Rusia debe construir su propia industria en muchas áreas, lo que aumenta el riesgo de robo de información.

Google ha donado, 50.000 licencias de Workspace, sistemas de alerta temprana para teléfonos Android y protección contra ataques de denegación de servicio al país.

Cuando nos reunimos con Phil Venables, jefe de seguridad de la información en Google Cloud, en febrero pasado, nos contó que las experiencias de Google del año pasado habían resultado en un informe que la empresa realizó junto con el equipo de análisis de amenazas en Mandiant – Fog of war: cómo el conflicto en Ucrania transformó el panorama de amenazas cibernéticas.

“Ha habido ataques muy agresivos de Rusia contra la infraestructura ucraniana durante el año, y hemos dedicado mucho tiempo a ayudar a Ucrania a defenderse. También hemos visto a Rusia atacar a diferentes países de la OTAN que apoyan a Ucrania”, afirma Phil Venables. Además de eso, ha habido continuas campañas de desinformación rusas que debemos tener en cuenta. Ahí se puede decir que ha habido más de lo mismo que hemos visto anteriormente.

A veces se habla de que los ataques de ransomware han disminuido como resultado de la guerra, y que las bandas rusas han tenido que centrarse en otras cosas que no sean atacar empresas en Occidente.

Algunas de las bandas de ransomware han cambiado sus operaciones. Pero también creo que se puede ver cierto efecto de las sanciones en cómo se realizan los pagos. Además, muchas organizaciones han mejorado su protección contra el ransomware y han mejorado la forma de mantener sus sistemas actualizados.

Diferentes grupos han cambiado su enfoque hacia Ucrania y ha habido un aumento dramático en los ataques destructivos contra la infraestructura gubernamental, militar y civil. Pero también ha habido un aumento de las actividades de phishing dirigidas a países de la OTAN y han visto un aumento en las operaciones cibernéticas donde los atacantes han violado y filtrado información para construir una cierta narrativa.

Rusia también ha trabajado duro en operaciones de información, desde medios respaldados por el estado hasta plataformas y cuentas secretas para influir en la percepción pública de la guerra. El objetivo ha sido socavar al gobierno ucraniano, romper el apoyo internacional al país y mantener un fuerte apoyo interno en Rusia para la guerra.

También se observa que la invasión ha provocado un cambio notable en el ecosistema del cibercrimen en Europa del Este “que probablemente tendrá consecuencias a largo plazo tanto para la coordinación entre grupos delictivos como para la magnitud de la ciberdelincuencia en todo el mundo”.

Algunos grupos se han dividido y otros han perdido operadores importantes, lo que afecta la comprensión establecida de sus capacidades por parte de los defensores. En el ecosistema de ransomware, ven una tendencia hacia la especialización y la compartición de estrategias entre diferentes actores, lo que dificulta la definición de los grupos.

“Compartir información, colaborar y responder rápidamente son clave para la defensa” Afirma Recorded Future

Con su servicio de análisis de inteligencia basado en SaaS, con sede en Suecia, Recorded Future ha ayudado a Ucrania con información, software y otros servicios.

Geoff Brown es el jefe de Global Intelligence Platforms y ha liderado gran parte del trabajo de Recorded Future en Ucrania, los cuales han enfrentado ataques incesantes, persistentes y multifacéticos no solo contra infraestructuras críticas sino contra prácticamente todos los sectores.

“Ha habido ataques DDoS y destrucción de sitios web por parte de grupos hacktivistas prorrusos como Killnet, actores criminales motivados financieramente que han filtrado información ucraniana sensible a la Dark web, sofisticados ataques ATP contra sistemas estatales, militares y eléctricos. Solo por mencionar algunos ejemplos”.

También hay ejemplos de ataques destructivos que han afectado a países vecinos, como en el caso del ataque Acid Rain que afectó a organizaciones en Alemania.

Geoff Brown asegura que la guerra en Ucrania ha resaltado la importancia de una defensa colectiva, no solo en el campo de batalla sino también en el ciberespacio. Ucrania es un modelo de colaboración entre la industria de la seguridad cibernética y de inteligencia de amenazas, socios estatales y privados para combatir ataques avanzados y persistentes.

La estrategia de defensa colectiva, junto con la experiencia adquirida por Ucrania al menos desde 2014, ha permitido que eviten con éxito estos ataques.

Hasta ahora, Recorded Future no ha visto el nivel de ciberataques estatales perturbadores o destructivos respaldados por estados contra naciones occidentales o aliados que habían temido. Los actores de amenazas se han centrado en Ucrania, aunque ha habido algunos ataques de phishing contra entidades occidentales. Pero él no descarta que estos ataques puedan ocurrir, a corto o largo plazo.

Algunos creen que estas agrupaciones están reservando sus mayores ataques para más adelante. Otros creen que la protección ha sido tan exitosa que los ataques se han podido evitar antes de que causen un daño real.

La razón más importante por las que la ciberdefensa de Ucrania ha tenido éxito ha sido la colaboración con la industria de la ciberseguridad.

El rápido intercambio de información, la colaboración y la respuesta rápida han permitido a los defensores ucranianos prevenir o contrarrestar ataques en tiempo real.

La guerra también ha demostrado que el hacktivismo nacionalista ha resurgido después de unos años tranquilos. Limitar los ataques hacktivistas a través de la colocación de aplicaciones detrás de una plataforma de reducción de DDoS, la formación en phising y el sistema de parches se puede lograr sin mayores dificultades.

Geoff Brown también señala la importancia de trabajar contra la desinformación a través de esfuerzos educativos y fortalecer la confianza en los medios de comunicación.

Mikko Hyppönen dice “Así es como las empresas deben pensar en el nuevo panorama de amenazas”

Ha sido un año caótico, pero no tan caótico como pensábamos cuando comenzó la guerra. Así lo dice Mikko Hyppönen, jefe de investigación de la empresa finlandesa de seguridad Withsecure. Ucrania ha sido constantemente objeto de ataques destructivos y de ciberespionaje.

En cuanto a los ataques que vienen del Estado ruso, hay una gran diferencia en qué agencia de inteligencia o seguridad está detrás de ellos, dice Mikko Hyppönen.

GRU es responsable de los ataques visibles, ruidosos y destructivos, como Industroyer2, HermeticWiper y probablemente el ataque KA-SAT. SVR y FSB pasan desapercibidos y se centran en la recopilación de inteligencia y el espionaje.

Además de la eliminación tradicional (wiping), al menos dos familias de ransomware han apuntado a objetivos dentro de Ucrania, continúa diciendo.

La mayoría de las operaciones fuera de Ucrania han sido llevadas a cabo por hackers nacionalistas rusos que han utilizado su herramienta favorita, los ataques de denegación de servicio (ddos), según Mikko Hyppönen. Él menciona grupos como Noname57, Killnet y Xaknet. Probablemente también el grupo que se hace llamar Anonymous Sudan y que atacó varios sitios web suecos en febrero.

La mayoría de estos grupos surgieron de la nada cuando comenzó la guerra. Durante las primeras semanas, había muchas más agrupaciones de hackers individuales que apoyaban a Ucrania que a Rusia, pero eso ha cambiado lentamente durante el año.

Además de esto, Mikko Hyppönen menciona las operaciones de información. Él da un ejemplo de Finlandia donde se acercan las elecciones y la cantidad de cuentas de trolls rusas de habla finesa ha aumentado considerablemente.

El objetivo es, por supuesto, la OTAN, debemos hacer las evaluaciones de amenazas para poder usar los recursos y presupuestos limitados en el momento y lugar correcto.