Cómo defenderse de los piratas informáticos: quiénes son los actores de amenazas que ponen en peligro nuestros datos
Hackers, Hackers de Estado y Ciberdelincuentes: los grupos más populares y sus organizaciones. Los atacantes cibernéticos se han convertido en empresas criminales adecuadas; la primera forma de defenderse de los hackers es tomar conciencia de esto y saber quiénes son los actores que amenazan nuestros datos y qué hacen.
1. Conoce a tu enemigo
En el famoso manual “El arte de la guerra”, escrito por el general y filósofo chino Sun Tzu hace más de 2.500 años, encontramos un consejo fundamental para defendernos de los hackers: “Conoce al enemigo y conócete a ti mismo; en cien batallas nunca estarás en peligro”.
Siempre debemos tener en cuenta que conocer a nuestro enemigo se vuelve fundamental también en Ciberseguridad para poder entender las TTP (Técnicas, Tácticas y Procedimientos) que utilizará cuando intente atacarnos.
Y estos enemigos, los llamados actores de amenazas, evolucionan continuamente en sus técnicas que se vuelven cada día más eficientes y sofisticadas.
Las herramientas y medidas de defensa deben seguir el ritmo y evolucionar también: no nos engañemos pensando que aquellas medidas que habíamos implementado hace solo algunos años seguirán siendo suficientes en 2022.
FlashStart ha creado por este motivo un sistema avanzado que protege de una amplia gama de amenazas e impide el acceso a sitios web maliciosos que, como veremos, pueden representar el origen de los ataques.
2. Los hackers ya no son como antes
Érase una vez, había piratas informáticos con su espíritu alegre.
La palabra “hacker” proviene del verbo “to hack”, que significa cortar, rebanar, desmenuzar, crear una abertura.
Partiendo de su significado original, la palabra ha sido retomada posteriormente por el Instituto Tecnológico de Massachusetts (MIT) en Boston en los años 50 para indicar simplemente una violación de la normativa interna: desafiar las prohibiciones para acceder a los túneles subterráneos como atajos entre los departamentos del campus (hablamos de hecho de «hackeo de túneles»).
Aquí nació la ética hacker, una especie de “manifiesto”, que no podía dejar de apelar al espíritu libertario de aquellos años.
Ayer, como hoy, hackear significa “ver más allá”, explorar, manipular, entender cómo se hacen las cosas dentro de una estructura para encontrar defectos (“bugs”) y mejorarla, a través de la intuición, la genialidad y el arte.
Esta es la razón por la cual el concepto de piratería no debe entenderse solo con una connotación negativa, sino que se deben hacer algunas distinciones entre las diferentes categorías de piratas informáticos:
» hackers de sombrero blanco o “hackers éticos”: son los buenos, aquellos que utilizan su competencia en TI de manera legal para descubrir vulnerabilidades de software (por ejemplo, con una prueba de penetración) y señalarlas, ¡también pagando un precio! – a la productora.
» hackers de sombrero negro o “hackers inmorales”: utilizan sus conocimientos con fines delictivos para obtener un beneficio ilícito.
Lo que pretendemos destacar aquí es cómo ha cambiado la posición del hacker a lo largo de los años, especialmente con referencia al delito cibernético y, por lo tanto, a los hackers de sombrero negro.
Todavía hoy, en el imaginario colectivo y en todas las películas sobre el tema, el hacker es retratado como un joven, con una sudadera con capucha oscura, inclinado sobre su teclado: el clásico “nerd”.
¡Nos olvidaremos de esta imagen, porque ya no existe!
Los hackers “lobos solitarios” que conocimos en los albores de la TI masiva, los “nerds tecnológicos” que pirateaban por diversión o movidos por instintos rebeldes, aquellos que nos enviaban virus que eran ingenuos en lugar de dañinos, hoy han sido sustituidos por organizaciones adecuadas.
Tienen como objetivo ganar dinero y robar datos, y para llegar a sus objetivos criminales realizan actividades de Investigación y Desarrollo, como una empresa normal.
Estas empresas incluyen muchas personas, cada una con funciones y roles precisos, y se han dotado de una estructura organizativa y un modelo de negocio como lo hacen las empresas adecuadas.
Lo que necesitan, más que nada, son las habilidades tecnológicas para construir y mantener malware de alto nivel; por lo tanto, el hacker que lleva su sudadera con capucha, si todavía existe, es una pieza de una cadena de producción más compleja.
Los ataques también requieren que los piratas informáticos conozcan a fondo la interfaz o la aplicación que quieren atacar y que dominen perfectamente el idioma del sujeto atacado. Además, deberán ser capaces de preparar ataques (generalmente a través de correos electrónicos o mensajes) que deben parecer creíbles y atractivos para el receptor: es por eso que “Cybercrime Ltd” ahora también incluye a un psicólogo en su equipo.
Por esta razón, los ataques que recibimos a través de correos electrónicos de phishing son cada vez menos rudimentarios, ¡y en realidad a menudo son difíciles de distinguir de los reales!
Además, para cada ataque exitoso, se necesita una red capaz de lavar y limpiar las cantidades de dinero robadas, para que no se puedan rastrear. Y así, los expertos financieros son parte del equipo.
Y finalmente, ¡los ciberdelincuentes también han descubierto la importancia de la comunicación!
Los vimos emitiendo comunicados de prensa, por ejemplo, durante el ataque al Oleoducto Colonial llevado a cabo por el grupo Dark Side en mayo de 2021.
>> FlashStart promueve la cultura de la ciberseguridad mediante la publicación de artículos de autores certificados como este. El software FlashStart Cloud lo protege de una amplia gama de amenazas y bloquea el acceso a sitios web maliciosos? ¡Comience su prueba gratuita ahora!
3. Los grupos de hackers más activos en los últimos años
Hablar de grupos de ciberdelincuentes en los últimos años ha significado hablar de ransomware, porque ya se ha convertido en la amenaza más extendida, la que más temen las empresas y la más rentable para los atacantes.
Como informa Cybersecurity Ventures, en 2021 se produjo un ataque de ransomware cada 11 segundos en el mundo, con un daño total para las empresas que sumó alrededor de 20 mil millones de dólares en un año.
Echemos un vistazo a los grupos que han sido especialmente activos en la difusión de ransomware. En algunos casos fueron responsables de ataques sensacionalistas, que golpearon a importantes organizaciones con solicitudes de rescate que ascendieron a decenas de millones de dólares.
3.1 REvil/Sodinokibi
Apareció en 2019, probablemente como un spin-off del desaparecido GandCrab. Toma su nombre de la película «Resident Evil». Es muy probable que esté ubicado en Rusia y no parece estar conectado a ninguna entidad política o gubernamental.
Ha sido uno de los más activos en el modelo “Ransomware as a Service” (RaaS). Según lo que informan los datos estadísticos, las víctimas de REvil constituyen el 11% del total de ataques. Es autor de la solicitud de rescate más alta de 2021 (70 millones de dólares en el ataque a Kaseya).
Golpeó también a JBS S.A., la empresa procesadora de carne más grande del mundo. En septiembre de 2021, la empresa de ciberseguridad Bitdefender anunció la disponibilidad de un descifrador universal para el ransomware REvil/Sodinokibi.
En enero de 2022 una operación del FSB, los servicios secretos rusos, se saldó con la detención de 14 miembros del grupo REvil en Rusia, desmantelando definitivamente la banda. La operación fue ampliamente publicitada por la propia Rusia, quizás para mostrar -especialmente hacia Estados Unidos- su compromiso en la lucha contra el cibercrimen. La agencia FSB declaró haber actuado tras recibir información de Estados Unidos sobre la banda REvil.
3.2 Ryuk
Desde agosto de 2018, en idioma ruso. Muy agresivo, con ataques dirigidos a grandes organizaciones y con solicitudes de rescate generalmente muy altas. Uno de los primeros grupos en desarrollar los programas de afiliación RaaS. También llegó a Bonfiglioli SpA en Italia en junio de 2019.
3.3 Maze
Desde mayo de 2019. Introdujo la doble extorsión, contando con la amenaza de publicar los archivos. Los ataques de Maze continuaron hasta septiembre de 2020, cuando el grupo anunció el fin de sus actividades. Sin embargo, podría estar usando un nombre diferente.
3.4 Ragnar Locker
Apareció por primera vez en 2019 y se hizo muy conocido en la primera mitad de 2020, cuando golpeó a algunas grandes corporaciones. Este grupo también hace un uso agresivo de la doble extorsión. Fue el responsable del ataque a Campari (2020) con un pedido de rescate de 15 millones de dólares. Parece haberse unido al cártel de ransomware Maze, y esto nos hace pensar que los dos grupos posiblemente estén colaborando.
3.5 DoppelPaymer
Apareció en 2019 y parece ser el sucesor del ya fallecido BitPaymer (también llamado FriedEx). También golpeó a Italia, especialmente a las Administraciones Públicas del país. Sus víctimas incluyen el Registro Escolar, el Municipio de Caselle Torinese, el Municipio de Rho, la Administración Local de Salud Umbria 2 y el Municipio de Brescia.
En Estados Unidos, golpeó a la petrolera nacional mexicana Pemex Oil de México (en noviembre de 2019) y a la ciudad de Torrance en el área metropolitana de Los Ángeles, solicitando un rescate de 100 bitcoins (689 147 dólares) y 200 GB de datos exfiltrados. Afectó también al condado de Delaware en Pensilvania (rescate pagado: 500.000 dólares).
3.6 DarkSide
De origen ruso, célebre por el atentado al Colonial Pipeline en USA (mayo 2021).
3.7 Lockbit
Desde febrero de 2020, de origen ruso. Tiene un modelo de negocio muy moderno con un programa de fidelización para RaaS. Se considera que tiene al menos 30 afiliados, cada uno de los cuales genera un promedio de 70-80 ataques.
3.8 Conti
El grupo apareció en julio de 2020, probablemente luego de una ruptura con Ryuk.
Es un grupo altamente organizado, con métodos de reclutamiento basados ??en capacidades técnicas y alto nivel de colaboración entre sus afiliados. Muchos de los ataques recientes se dirigieron a Italia, incluido en 2021 el de San Carlo (la famosa empresa de chips en la industria alimentaria) y el del municipio de Turín.
3.9 RansomExx
Este es el ransomware que llegó a la región italiana de Lazio a principios de agosto de 2021.
3.10 Everest
Una pandilla de ransomware relativamente reciente que apareció en diciembre de 2020. Es conocida especialmente por el ataque a SIAE (octubre de 2021), la Asociación Italiana de Autores y Editores, cuyos miembros tenían sus datos publicados en línea (especialmente cantantes).
>> FlashStart lo protege de una amplia gama de amenazas y evita el acceso a sitios web maliciosos? ¡Comience su prueba gratuita ahora!
4. Grupos de hackers conectados con el estado
Los grupos de hackers (pero sería más correcto llamarlos «ciberdelincuentes») que enumeramos anteriormente tienen como objetivo robar dinero, especialmente a través de la extorsión dirigida por ransomware. Podemos definirlas como bandas “privadas”, aunque en ocasiones están conectadas entre sí.
Pero no son el único actor de amenazas. También existen los llamados grupos de piratas informáticos patrocinados por el estado, es decir, grupos que están, más o menos directamente, vinculados a los estados y gobiernos.
Hoy en día, la guerra ya no se libra (casi) en los espacios tradicionales de guerra (tierra, mar, cielo), sino en el “ciberespacio”. Y son los propios estados quienes lo combaten, a través de grupos expresamente creados.
Esta guerra, definida como “guerra cibernética”, se libra sin declaraciones de guerra y suele estar oculta. Quienes lo llevan a cabo son grupos que se consideran vinculados a los propios gobiernos, aunque no siempre tenemos pruebas de esta conexión. Una ventaja de la guerra cibernética está precisamente dada por lo difícil que es atribuir el ataque a un perpetrador, ya que es fácil para el atacante ocultar sus huellas.
Estos grupos de hackers patrocinados por el estado se clasifican con nombres que en ocasiones les dan las empresas que trabajan en ciberseguridad. Es por esto que un solo grupo puede terminar teniendo más de un nombre. Una de las formas más populares de clasificarlos es utilizar las siglas APT seguidas de un número, como veremos.
Estos grupos de hackers patrocinados por el estado se clasifican con nombres que en ocasiones les dan las empresas que trabajan en ciberseguridad. Es por esto que un solo grupo puede terminar teniendo más de un nombre. Una de las formas más populares de clasificarlos es utilizar las siglas APT seguidas de un número, como veremos.
El sitio web de Mitre proporciona en línea una lista completa y muy detallada de todos estos grupos en este enlace: https://attack.mitre.org/groups/
Veamos algunos de los más populares:
4.1 Grupos de Hackers en RUSIA
4.1.1 Fancy Bear
(alias: APT28, Pawn Storm, Sofacy, Sednit, Strontium) probablemente vinculado a los Servicios Secretos Rusos GRU. La acción más famosa de Fancy Bear fue el ataque de 2016 al Comité Nacional Democrático de los Estados Unidos y a la campaña de Hillary Clinton, que parece haber influido en los resultados de las elecciones presidenciales estadounidenses. Se considera que Fancy Bear está vinculado al grupo de hackers Guccifer 2.0.
4.1.2 Cozy Bear
(alias: APT29), probablemente vinculado a los servicios secretos rusos extranjeros (SVR). Conéctese o afíliese a otros grupos también: Dark Halo, StellarParticle, Nobelium, UNC2452, Yttrium, The Dukes. En abril de 2021, los gobiernos de Estados Unidos y del Reino Unido atribuyeron a Cozy Bear el ataque que comprometió la cadena de suministro de la empresa estadounidense SolarWinds.
4.2 Grupos de Hackers en CHINA
4.2.1 Deep Panda
(alias: Shell Crew, WebMasters, KungFu Kittens y PinkPanther). Algunos analistas sostienen que Deep Panda y APR19 son en realidad el mismo grupo.
4.2.2. Mustang Panda
(alias: RedDelta, presidente Bronce). Apuntó a instituciones públicas, organizaciones sin fines de lucro, otras organizaciones religiosas y no gubernamentales en los Estados Unidos, Alemania, Mongolia, Myanmar, Pakistán y Vietnam, entre otros.
4.2.3 Hafnium
Probablemente sea un grupo patrocinado por el Estado que opera desde China y ha estado activo al menos desde enero de 2021. Hafnium se dirige principalmente a entidades en los Estados Unidos a través de una serie de sectores industriales. Se le considera responsable del ataque a los servidores de Microsoft Exchange a principios de 2021.
4.3 Grupos de Hackers en IRAN
4.3.1 Elfin
(alias: APT33, HOLMIO). Grupo iraní que ha llevado a cabo ataques al menos desde 2013. El grupo se ha dirigido a diferentes sectores en los Estados Unidos, Arabia Saudita y Corea del Sur, con un interés particular para los sectores de la aviación y la energía, especialmente las refinerías de petróleo.
4.3.2 OilRig
(alias: APT34, Helix Kitten). Grupo iraní que existe al menos desde 2014 y centra sus operaciones en Oriente Medio. Según FireEye, el grupo opera a instancias del gobierno iraní.
4.3.3 MuddyWater
(alias: Mercurio, Static Kitten, Seedworm). Apuntó principalmente a países de Oriente Medio, pero también a países europeos y norteamericanos. Las víctimas del grupo se encuentran principalmente en los sectores de telecomunicaciones, gobierno (servicios de TI) y petróleo.
4.3.4 Pioneer Kitten
(alias: UNC757, Fox Kitten, Parisita). Se sospecha que está vinculado al gobierno iraní. Activo al menos desde 2017 contra entidades en Medio Oriente, África del Norte, Europa, Australia y América del Norte. Apuntó a sitios industriales, entre los que se encuentran refinerías de petróleo y gas, plantas tecnológicas, gobiernos, sistemas de defensa, sistemas de salud pública, producción general e ingeniería.
4.4 Grupos de Hackers en NORTH KOREA
4.4.1 Lazarus Group
(alias: APT38, Guardianes de la Paz, BeagleBoyz, Hidden Cobra). Financiado y gestionado por el régimen norcoreano, el grupo no lleva a cabo ataques militares contra otros países, sino que tiene como principal objetivo recaudar fondos (por supuesto, ilegalmente) para financiar el régimen y eludir las sanciones impuestas a Corea del Norte. Según los analistas, al menos 7.000 norcoreanos trabajan en este ciberdepartamento gubernamental.
El primer ataque cuya evidencia se tiene es la “Operación Flame” de 2007 con un sabotaje a la red de Internet de Corea del Sur. En 2013, llevó a cabo una serie de ataques coordinados contra instituciones financieras de Corea del Sur.
Los bancos y las instituciones financieras son siempre el objetivo principal. El grupo es famoso especialmente por el ataque al Banco Central de Bangladesh en 2016 (el mayor robo cibernético de la historia, con 82 millones de dólares robados) y por el ataque a Sony Pictures Entertainment en noviembre de 2014.
5. Hacker: ¿cómo puedes defenderte de un ataque “dropper”?
Los ciberdelincuentes cuyas acciones comentamos anteriormente tienen una gran capacidad de ataque y objetivos que pueden ser políticos o militares (en el caso de grupos patrocinados por el estado) o económicos.
Este último tipo de objetivos son los que las empresas y organizaciones deben temer, ya que el objetivo es su dinero o bien sus datos (que sin embargo valen dinero).
Las técnicas de ataque pueden ser numerosas y muy sofisticadas, pero casi siempre utilizan algunas notas TTP (Técnicas, Tácticas y Procedimientos).
5.1 El ataque “Cuentagotas”
Uno de los ataques más comunes se basa en el siguiente método: el atacante inyecta en el sistema que quiere golpear un cuentagotas que puede usarse para iniciar el ataque. Este dropper (por ejemplo, una macro de Excel o Word o bien un archivo VBS) lanzará una conexión hacia los servidores Command&Control (C&C) pertenecientes al atacante, desde donde el dropper podrá descargar el malware necesario para finalizar la acción.
5.2 ¿Cómo puedes defenderte de los hackers y el Geobloqueo?
FlashStart lo ayuda concretamente a reducir las posibilidades de ingresar un cuentagotas al bloquear el acceso a sitios web comprometidos y peligrosos a nivel de DNS y permitiendo, gracias a la función exclusiva «Geobloqueo«, el bloqueo de la resolución de DNS hacia sitios web alojados en países considerados peligrosos.
No obstante, será posible permitir la resolución parcial de DNS solo para sitios web seleccionados ubicados en estos países, con total seguridad y flexibilidad.
>> FlashStart es líder en competitividad? Solicite una oferta
6. El autor
Giorgio Sbaraglia, ingeniero, es consultor y formador en temas de ciberseguridad y privacidad.
Realiza cursos de formación sobre estos temas para numerosas empresas italianas importantes, entre ellas ABIFormazione y la 24ORE Business School (https://www.24orebs.com/docenti/giorgio-sbaraglia).
Es el coordinador científico del Máster “Ciberseguridad y Protección de Datos” de 24Ore Business School.
Es miembro del Comité Científico CLUSIT (Asociación Italiana de Ciberseguridad) y Gerente de Innovación certificado por RINA.
Ocupa cargo de DPO (Delegado de Protección de Datos) en empresas y Colegios Profesionales.
Es el autor de los siguientes libros:
» “GDPR kit di sopravvivenza” – “GDPR kit de supervivencia” (Editado por goWare),
» “Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!” – “Kit de supervivencia de ciberseguridad. La web es un lugar peligroso. ¡Debemos defendernos!” (Editado por goWare),
»“iPhone. Come usarlo al meglio. Scopriamo insieme tutte le funzioni e le app migliori” – “iPhone. Cómo utilizarlo en todo su potencial. Descubramos juntos todas las funciones y las mejores aplicaciones” (Editado por goWare).
Colabora con CYBERSECURITY360 ( https://www.cybersecurity360.it/about ) una revista online especializada del grupo Digital360 centrada en Ciberseguridad.
Escribe también para ICT Security Magazine, Agenda Digitale y para la revista CLASS.
FlashStart es una herramienta segura y confiable para navegar en línea tanto en las instalaciones como de forma remota durante el Smart Working.
Solicite un presupuesto ahora.
En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.