Ciberataques: los Gobiernos de Rusia, Irán, China y Corea del Norte aumentan sus ataques

Según el último informe de amenazas de Crowdstrike, se ha producido un aumento de ataques desde oficinas y departamentos gubernamentales

Con los ciberataques viene a suceder como con las faltas en el fútbol. Los jugadores parecen no enterarse de que una decena de cámaras registra cada movimiento en el terreno de juego y que de nada sirve que disimulen o se hagan los sorprendidos por la llegada de la tarjeta amarilla. Saltando al tema que nos ocupa, el de la ciberseguridad, las compañías especializadas en este campo, en claro auge, son capaces ya de analizar y rastrear cada uno de esos movimientos sospechosos. En ese eterno juego del policía y el ladrón, la investigación avanza a pasos agigantados: unos para atajar el problema, otros para sortear la ley y seguir trampeando. Ahora, entre las últimas tendencias de estas conductas, la compañía CrowdStrike ha detectado en su último informe anual un aumento de los ataques perpetrados por agencias gubernamentales. Los países responsables de esas acciones son Rusia, Irán, China y Corea del Norte. Así lo recogen las páginas de su trabajo.

Los ciberdelincuentes iraníes, según ha observado CrowdStrike, han adoptado operaciones de información disruptiva utilizando técnicas de ransomware para cifrar redes y filtrar la información obtenida. Por su parte, desde China emerge la explotación de vulnerabilidades -se analizaron hasta 12 diferentes durante al pasado año- y se perpetran ataques dirigidos especialmente contra dispositivos conectados y servicios como Microsoft Exchange. El grupo ruso Cozy Bear ha expandido sus ataques dirigidos contra proveedores de servicios cloud con el objetivo de minar las relaciones de confianza entre organizaciones y acceder a objetivos secundarios a través de movimientos laterales. Además, en Rusia también opera el grupo Fancy Bear, que está utilizando, cada vez con más frecuencia, tácticas de recolección de credenciales mediante técnicas de escaneo a gran escala y phishing personalizado. Finalmente, los incidentes con procedencia en Corea del Norte se basan especialmente en entidades relacionadas con criptomonedas con el objetivo de mantener la generación de negocio ilícito tras la crisis provocada por la pandemia.

CrowdStrike, especializada en la protección del endpoint, de los datos y de la identidad desde la nube, detalla en su octavo Global Threat Report 2022 las actividades de los grupos cibercriminales que amenazan la estabilidad mundial. En esta ocasión, resalta un crecimiento del 82% en las fugas de datos relacionadas con ataques de ransomware y dos nuevos grupos de adversarios procedentes de Turquía (Wolf) y Colombia (Ocelot). En el informe se destaca también el hecho de que el 62% de las detecciones más recientes no incluían malware.

Asimismo, comprobamos en este informe la creciente sofisticación, velocidad e impacto de los ataques de ransomware dirigidos, las operaciones disruptivas y los incidentes ocurridos en infraestructuras cloud. En la actualidad, el equipo de inteligencia de CrowdStrike está investigando a más de 170 grupos de cibercriminales en todo el mundo. Estos grupos tienen en su gran mayoría motivaciones financieras en sus actividades.

Otra tendencia que han detectado se refiere a la naturaleza de los ataques. El malware ya no es la puerta de entrada de los ciberdelincuentes. CrowdStrike habla de nuevos tipos de ransomware dirigido, con un aumento del 82% en el número de filtraciones de datos y hasta 2.686 ataques reconocidos hasta el 31 de diciembre. Esto significa que cada semana se producen -o se consiguen detectar, al menos- 50 agresiones.

Los rescates solicitados por ataque han aumentado un 36% hasta los 5,71 millones de euros de media. En este sentido, desde CrowdStrike se alerta de que el 62% de las detecciones analizadas en los tres últimos meses de 2021 no incluían malware. “Tanto las actividades llevadas a cabo por los cibercriminales como las estrategias de ciertos Estados se adaptan fácilmente a un entorno cada vez más conectado, por lo que es crítico que las empresas evolucionen en la protección ante estas amenazas integrando tecnologías, soluciones y estrategias”, afirma Adam Meyers, vicepresidente senior de inteligencia en CrowdStrike. Añaden que la misma herramienta que han utilizado para analizar y detectar todos estos ataques de diferentes fuentes -la plataforma CrowdStrike Falcon- “ofrece todas las herramientas necesarias para conseguir detectar de forma muy precisa cualquier incidente, para proteger de forma automatizada y para remediar cualquier amenaza”.