Rusia y Ucrania: cómo la ciberguerra cambia el conflicto
Rusia y Ucrania

Cómo cambia la ciberguerra el conflicto entre Rusia y Ucrania

El conflicto entre Rusia y Ucrania plantea un importante problema de ciberseguridad.

Ucrania lleva un mes siendo atacada por Rusia, sin que se prevea un alto el fuego o un acuerdo entre las partes. Mientras tanto, varios países han ido aplicando sanciones contra Rusia, empresas han dejado de operar en el país como represalia y grupos hacktivistas que no apoyan las acciones rusas dirigidas por Putin intentan de diversas formas tomar represalias contra el país y las empresas que aún mantienen negocios allí.

¿Qué es el hacktivismo?
El hacktivismo es una combinación de dos palabras: hack y activismo. Es el acto de utilizar habilidades de hacking con motivaciones políticas, sociales y/o ideológicas para acceder a sistemas, filtrar información confidencial, realizar pintadas en sitios web de empresas que son objetivos de movimientos o causas de un grupo o individuo. Los objetivos habituales de los grupos hacktivistas son organismos gubernamentales, empresas multinacionales o cualquier otra entidad o persona de poder percibida como mala, errónea o injusta. 
La mayoría de los grupos hacktivistas quieren permanecer en el anonimato. Algunos de ellos son mundialmente reconocidos y han adoptado un acrónimo como nombre, como los grupos Cult of the Dead Cow, Anonymous, WikiLeaks, LulzSec, DkD[|| y Syrian Electronic Army.

Rusia y Ucrania: guerra híbrida

Cuando pensamos en la guerra, inmediatamente imaginamos tanques, aviones lanzando bombas y soldados precipitándose al combate. En la guerra híbrida, un nuevo componente entra a formar parte del combate: el ciberataque coordinado.

La guerra cibernética ataca las infraestructuras críticas de una nación y a todos aquellos que no se oponen al atacante, siendo los objetivos ordenadores o redes de información que, al ser atacados, interrumpen el flujo de información o comunicación.

En la guerra actual, un segmento es la represalia de grupos hacktivistas contra empresas que aún operan en el país invasor. En este escenario destaca el grupo Anonymous, que comparte en sus diversas cuentas de redes sociales campañas contra estas empresas. Muchas personas de todo el mundo se han unido al movimiento y han elaborado listas de organizaciones a las que amenazan con atacar. La idea es causar la interrupción de los servicios, filtrar datos confidenciales, entre otros métodos.

Figura 1: Captura de pantalla de una cuenta de Twitter del grupo Anonymous
en la que se amenaza a empresas que operan en Rusia.
Figura 2: Grupo de algunas empresas amenazadas por Anonymous
Figura 3: El grupo Anonymous recluta hacktivistas en todo el mundo para luchar en favor de Ucrania

ANÓNIMO

Anonymous opera de dos formas distintas. La técnica más común en sus ataques se identifica como DDoS, que significa Ataque de Denegación de Servicio (MITRE - T1499.002). En la práctica, esto significa que Anonymous infecta varios dispositivos en todo el mundo con una botnet y, tras tener un número considerable de"dispositivos zombis", redirigen una carga de tráfico extremadamente alta con el objetivo de dejar fuera de línea la plataforma objetivo, realizando así una denegación de servicio, ya que los usuarios no podrán acceder a ese recurso. Por ejemplo, en el caso de Minnesota, el sitio web de la policía local fue derribado por esta misma técnica.

Otro movimiento de los activistas es filtrar información de sus objetivos (MITRE - TA0010). Se aprovechan de vulnerabilidades conocidas, explotan el fallo de seguridad y realizan el movimiento lateral (MITRE - TA0008) en la red de la víctima, con el fin de detectarun activo que contenga datos sensibles, para así poder cumplir su objetivo táctico.

Anonymous utiliza Internet para reclutar y entrenar nuevos reclutas nuevos reclutas, reconocer pasivamente objetivos potenciales y explotar las vulnerabilidades encontradas en los sistemas expuestos a Internet para luego volver a ejecutar la técnica de denegación de acceso a los recursos. Además, ya es comúnmente conocido el acto de alterar la información presentada por las organizaciones en sus sitios web. Esta técnica se conoce como Defacement (MITRE - T1491). Y, tras anunciar que sus objetivos se han cumplido, llevan a cabo la publicación de información confidencial.

A pesar de la escasa publicación de los artefactos forenses dejados por Anonymous, su éxito en la ejecución de sus operaciones y en la captación de la atención mediática hasta la fecha es un indicador de que el grupo se encuentra en el mismo nivel de incidentes de alta complejidad, y debido a estas características,

podemos suponer la participación de amenazas sofisticadas, comúnmente denominadas"Amenazas Persistentes Avanzadas" (APT) (Directorio de grupos APTde MITRE).

Se trata de amenazas que disponen de recursos casi infinitos porque suponen que cuentan con el apoyo de su Nación, y generalmente se catalogan como Amenazas de Estado-Nación. Y como disponen de esta cantidad de recursos, pueden pasar meses o incluso años planificando persistentemente su ataque hasta conseguir sus objetivos.

Anonymous y sus grupos asociados se enorgullecen de ser expertos en"medios sociales"y utilizan habitualmente foros como Twitter, Facebook y páginas web públicas para anunciar objetivos previstos, resultados de ataques en curso y publicar archivos robados de las redes de las víctimas. Estos anuncios pueden ofrecer a los encargados de defender sus organizaciones la oportunidad de complementar proactivamente sus defensas y concienciar a directivos, empleados y socios. Por ejemplo, se señala que ha habido una cantidad significativa de técnicas de reconocimiento (MITRE - TA0043) antes de la explotación real. También se recomienda que las entidades de los sectores público y privado sigan los mismos pasos que seguirían los adversarios para determinar la extensión de la superficie de ataque disponible para un adversario.

Cuando se utiliza Twitter como fuente de información, se recomiendan algunos hashtags:

#OpRusia#FreeUkraine#Anónimo#StopFundingRussia
#PullOutOfRussia#StandWithUkraine#UcraniaGuerraRusa#BloodyTrade

Conclusiones

Independientemente de las guerras o situaciones políticas que desencadenen ciberataques, es de suma importancia que las organizaciones sean conscientes de sus respectivas superficies de ataque. Conocer su perímetro, sus vulnerabilidades potenciales y su exposición de datos e información es una ayuda fundamental para construir planes de acción que mitiguen cualquier posible fallo. Además, los planes de respuesta a incidentes y de recuperación ante desastres deben ser probados constantemente y deben estar actualizados, en caso de que se detecte algún incidente no mitigado en la infraestructura.

Dado el escenario actual, se recomienda que las empresas con relaciones y negocios en Rusia redoblen la atención a sus infraestructuras. Es posible que se tomen represalias, por lo que estar protegidos en un momento crítico como este es fundamental.

Las siguientes recomendaciones son un complemento importante para combatir posibles atentados y también deben tenerse en cuenta las lecciones aprendidas de incidentes anteriores ocurridos en todo el mundo.

Recomendaciones

Mantenga copias de seguridad de los datos encriptadas y sin conexión, y pruébelas con frecuencia. Las copias de seguridad deben realizarse con regularidad. Es importante que se mantengan sin conexión, ya que muchas variantes de ransomware intentan localizar y eliminar o cifrar las copias de seguridad accesibles.

2. Crear, mantener y ejecutar un plan básico de respuesta a incidentes cibernéticos, un plan de recuperación y un plan de comunicaciones asociado:

  • El plan de respuesta a incidentes cibernéticos debe incluir procedimientos de respuesta y notificación para incidentes de ransomware. Recomendamos la Guía conjunta sobre ransomware de CISA y el Centro Interestatal de Información e Intercambio (MS-ISAC) para obtener más detalles sobre la creación de un plan de respuesta a incidentes cibernéticos.
  • El plan de recuperación debe abordar cómo operar si se pierde el acceso o el control de las funciones críticas. CISA ofrece evaluaciones de ciberresiliencia gratuitas y no técnicas para ayudar a las organizaciones a evaluar su resiliencia operativa y sus prácticas de ciberseguridad.

3. Mitigar las vulnerabilidades y los errores de configuración de los servicios orientados a Internet para reducir el riesgo de que los actores exploten esta superficie de ataque:

  • Emplee las mejores prácticas para utilizar el Protocolo de Escritorio Remoto (RDP) y otros servicios de escritorio remoto. Las amenazas suelen obtener acceso inicial a una red a través de servicios remotos expuestos y mal protegidos, para después propagar el ransomware;
  • Audite la red en busca de sistemas que utilicen RDP, cierre los puertos RDP no utilizados, aplique bloqueos de cuenta tras un número determinado de intentos, aplique autenticación multifactor (MFA) y registre los intentos de inicio de sesión RDP;
  • Realizar escaneos de vulnerabilidad regulares para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet. CISA ofrece una gama de servicios gratuitos de ciberhigiene, incluido el análisis de vulnerabilidades, para ayudar a las organizaciones de infraestructuras críticas a evaluar, identificar y reducir su exposición a ciberamenazas como el ransomware. Al aprovechar estos servicios, las organizaciones de cualquier tamaño recibirán recomendaciones sobre las formas de reducir su riesgo y mitigar los vectores de ataque;
  • Actualizar oportunamente el software, incluidos los sistemas operativos, las aplicaciones y el firmware. Dé prioridad a la corrección oportuna de las vulnerabilidades y puntos vulnerables críticos de los servidores orientados a Internet, así como del software de procesamiento de datos de Internet, los navegadores web, los complementos de navegadores y los lectores de documentos. Si no es posible una reparación rápida, aplique las medidas de mitigación proporcionadas por el proveedor;
  • Asegúrese de que los dispositivos están configurados correctamente y de que las funciones de seguridad están activadas; por ejemplo, desactive los puertos y protocolos que no se utilicen con fines empresariales;
  • Desactivar o bloquear el protocoloServer Message Block (SMB) entrante y saliente y eliminar o desactivar las versiones obsoletas de SMB.

4. Reducir el riesgo de que los correos electrónicos de phishing lleguen a los usuarios finales:

  • Activación de los filtros antispam;
  • Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios que incluya orientaciones sobre cómo identificar e informar de actividades sospechosas (por ejemplo, phishing) o incidentes.

5. Utilizar las mejores prácticas de ciberseguridad disponibles:

  • Asegúrese de que todo el software antivirus, antimalware y de firmas esté actualizado;
  • Implementarlistas de aplicaciones permitidas;
  • Garantizar que las cuentas de usuario y los privilegios estén limitados mediante políticas de uso de cuentas, control de cuentas de usuario y gestión de cuentas privilegiadas;
  • Emplee la AMF para tantos servicios como sea posible, especialmente para el correo web, las redes privadas virtuales (VPN) y las cuentas que acceden a sistemas críticos.

Referencias

  1. Mitre Att&ck
  2. Twitter
  3. Punto de control
  4. Norton
Etiquetas: guerra , guerra , guerra cibernética, guerra cibernética, guerra , ,

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.

Copyright © 2022 ISH Tecnologia, Todos los derechos reservados.