El 11 de mayo de este año (2022), varios sitios web italianos, incluidos el «Senado de la República», el «Ministerio de Defensa» y el «Istituto Superiore di Sanità», fueron bloqueados y permanecieron inalcanzables durante varias horas. Este fue el primer día de un ataque cibernético de larga duración que se dirigió a varios sitios web en Italia y varios otros países.
Antes de que Italia fuera blanco de KillNet , en los últimos meses el grupo había atacado a empresas gubernamentales y privadas en otros países, incluidos Estados Unidos, Estonia, Letonia, Alemania, Polonia, la República Checa y Ucrania.
Los grupos criminales prorrusos KillNet y Legion se han atribuido la responsabilidad de los ataques DDoS (Distributed Denial of Service) para los que se utilizó el malware Mirai, en su canal de Telegram denominado Legion – Cyber special forces of RF.
Un «llamado a la acción» de la ciberdelincuencia
Además, KillNet anunció una serie de ataques dirigidos a objetivos italianos, publicando en el mismo canal una lista de sus recursos en línea que incluía sitios web de organismos estatales, autoridades energéticas, así como entidades de los sectores de telecomunicaciones, transporte y medios de comunicación.
¿Son realmente seguros los documentos comerciales que comparte durante las reuniones de video en línea?
Administración/Finanzas/Control
El llamado a la acción pidió a los miembros del colectivo que llevaran a cabo un ataque DDoS prolongado de 48 horas en sitios web objetivo, en represalia contra los países que se oponían a Rusia.
Como resultado, el Equipo de Respuesta a Incidentes de Seguridad Informática de Italia (CSIRT) ha emitido una alerta a las organizaciones del sector público y privado sobre un mayor riesgo de ataques cibernéticos por parte de ciberdelincuentes prorrusos.
Los ataques fueron reportados el 20 de mayo por la Policía Postal italiana a cargo de la lucha contra el cibercrimen, que dijo que había respondido bloqueando y analizando la enorme cantidad de direcciones IP extranjeras que formaban parte de los ataques DDoS. Luego informaron de los ataques contra el Consejo Superior de la Judicatura, las autoridades aduaneras y los ministros de Relaciones Exteriores, Educación y Patrimonio Cultural, todos los cuales se indican en las publicaciones de killNet.
Una verdadera guerra híbrida
Este escenario plantea muchas preocupaciones para la ciberseguridad en Italia, también teniendo en cuenta el panorama de amenazas globales y el efecto dominó que el conflicto ruso-ucraniano está teniendo en el resto del mundo. Las partes implicadas están librando públicamente una verdadera guerra híbrida que combina la convencional con toda una serie de acciones dentro del ciberespacio.
Después de la invasión, ambas partes llevaron a cabo ataques contra infraestructuras de TI y OT, violando sistemas y distribuyendo limpiaparabrisas de disco, ransomware y otras amenazas cibernéticas, con la intención de causar destrucción y daños. Los actores detrás de los ataques han demostrado ser patrocinados por el estado o hacktivistas que actúan por ideología, lo que redefine el escenario de amenaza.
El escenario que está surgiendo hoy en día es el realizado por nuevos y desconocidos actores de amenazas que actúan sin ser molestados y emergen solo cuando es demasiado tarde para poder tomar acciones contrarias contra ellos. Es por eso que utilizar los servicios de inteligencia para detectar a estos grupos criminales es la única manera de entenderlos mejor y tratar de detenerlos.
Respuesta a incidentes
Hoy en día, cuando se trata de ataques cibernéticos, ya no se trata solo de «si», sino de «cuándo» las empresas se verán afectadas y esto debe prepararse estableciendo un plan de respuesta a incidentes. Es un conjunto de herramientas y procedimientos que el equipo de seguridad puede utilizar para identificar y eliminar una amenaza, responder a un incidente de seguridad y proporcionar recuperación.
Estas herramientas están diseñadas para ayudar a su equipo a responder rápidamente y al unísono a cualquier tipo de amenaza. La presencia de este plan ayuda a la empresa a recuperarse más rápidamente, reduciendo las posibles consecuencias de un ciberataque.
Del mismo modo, a pesar de la amplia gama de herramientas y soluciones de seguridad disponibles, la ciberseguridad efectiva va mucho más allá de comprar un producto. Debe desarrollarse de manera proactiva, a través de una combinación de políticas, cultura y soluciones. Debe ser visto como un proceso continuo, con controles constantes y un objetivo de mejora continua.
La realización de evaluaciones de seguridad periódicas y pruebas de penetración de la organización y sus activos ayuda a tomar conciencia sobre las vulnerabilidades y cómo podrían explotarse. Ganar cuotas con las debilidades del negocio de manera oportuna ayuda a eliminar los agujeros de seguridad y reducir la superficie de ataque.
En última instancia, incluso si una organización no está en una lista como la de KillNet, no significa que no sea un objetivo potencial, es más probable que la organización no esté al tanto de lo que está sucediendo fuera del perímetro de su oficina. De hecho, desde una perspectiva de ciberseguridad, los atacantes están a solo un clic de distancia de los activos comerciales más críticos.
Defensa proactiva
Todas las organizaciones son víctimas potenciales de ataques cibernéticos como los perpetrados por KillNet y por esta razón deben tener la mayor cantidad de información posible sobre las amenazas, incluyendo cómo operan los grupos, por qué son o podrían ser un objetivo, y el alcance de los ataques que sufren. Toda esta información debe estar disponible para la empresa antes de que ocurra un ataque. Solo a través de la inteligencia de amenazas las empresas pueden prepararse para los incidentes, evitarlos y, en el caso de que ocurran, poder mitigarlos.
Tomemos KillNet, por ejemplo. ¿Es conocido por los ataques DDoS, pero también utiliza otras técnicas? ¿Es un grupo asociado a otro tipo de ataques, como ransomware o similares? En este caso, parecen estar actuando en nombre del gobierno ruso contra Ucrania, pero ¿tienen otras motivaciones?
Ser capaz de responder a estas preguntas por adelantado puede marcar la diferencia entre una interrupción temporal del servicio, que puede durar unos minutos u horas, y una interrupción importante del negocio, que podría destruir sistemas críticos y robar datos valiosos.
Además, la carrera digital de los últimos años en diferentes sectores empresariales ha multiplicado el número de formas en las que se pueden compartir documentos y datos pero también robarlos y, por otro lado, nos ha permitido rastrear datos en la red. Internet se puede comparar con un gigantesco archivo de información que puede ser útil para muchos propósitos, incluidos los ataques cibernéticos.
Infracciones no detectadas
Todas las organizaciones deben saber qué datos están disponibles en la web y, en particular, comprender si han sido expuestos en la red oscura. En el mejor de los casos, estos datos son el resultado de una violación no detectada que podría resultar en multas y daños a la reputación. En el peor de los casos, los datos podrían ser explotados para atacar a la empresa y poner en riesgo la continuidad y supervivencia del negocio.
Las credenciales robadas pueden ser extremadamente peligrosas y son utilizadas por los atacantes para distribuir ransomware en muy poco tiempo o incluso solo para exfiltrar datos, causando graves daños a la empresa. Sin la vigilancia adecuada, el incidente podría incluso pasar desapercibido hasta que la víctima se enfrente a las consecuencias.
Esto es solo la punta del iceberg en términos de la valiosa información que las soluciones de inteligencia pueden ofrecer a las empresas todos los días para reducir proactivamente la superficie de ataque y mejorar la respuesta.
Estar preparado es la mejor defensa cuando se trata de ciberseguridad, ya que los incidentes son inevitables. Nadie es inmune y hay una buena posibilidad de que ya haya sucedido, pero simplemente no lo sabe todavía. Es solo cuestión de entender cuándo, cómo y cuánto se extenderá el daño.
La defensa proactiva es la base de la ciberseguridad y ayuda a construir una postura de seguridad que podría garantizar la continuidad del negocio en caso de que se materialice el peor de los casos.
Original en italiano, publicado en: https://www.cybersecurity360.it/soluzioni-aziendali/cyber-intelligence-cosi-previene-gli-incidenti-informatici-in-un-panorama-geopolitico-complesso/
