Los casos globales de Secuestro de datos están bajando y la principal preocupación de los analistas de seguridad en América Latina es la limpiaparabrisasun tipo de software malicioso (malware) que borra toda la información de sus víctimas.
Así lo explicó el director de estrategia de seguridad global de Fortinet, Derek Manky, en una mesa redonda en el Cumbre de expertos de Fortinet 2022 en Cancún, en la que participó Clarín: “Los limpiaparabrisas son el mayor peligro actual: los ciberataques destructivos. Ransomware y robo de cuentas de correo corporativas (BEC) son moneda corriente hoy en día, pero este año detectamos un fuerte crecimiento de este tipo de programas que están escritos para destruir información”.
Esta consolidación del ransomware se puede verificar particularmente en Argentina: en los últimos años, nuestro país ha sido un campo minado de este tipo de programas maliciosos, desde casos en el Estado como el Senado de la Nación o la Justicia de Córdoba, hasta empresas privadas como como el prepago Osde, que cayó en manos de Lockbit, una de las bandas más poderosas del momento.
Sin embargo, según un estudio reciente del laboratorio de amenazas Fortiguard Labs, la guerra en Ucrania provocó que los atacantes intensificaran el uso de limpiaparabrisas: se identificaron siete nuevas variantes durante los últimos seis meses de 2022, y cuatro de ellos están presentes en América Latina.
Aquí, Manky relata las razones que tienen los atacantes para borrar información, analiza el panorama actual de ciberseguridad en la región, habla de grandes bandas como cerradura y arriesga algunas hipótesis sobre lo que podría pasar en los próximos años.
Más superficie de ataque, ciberdelincuentes más sofisticados
─Cada vez hay más ataques, ¿por qué sucede esto?
─Porque la superficie de ataque sigue creciendo y no se va a contraer. Se está expandiendo a un ritmo muy rápido. Si miras históricamente, cada vez que se introduce una nueva tecnología, los atacantes se aprovechan de ella. Piense en los teléfonos inteligentes: cuando Android comenzó a ganar participación de mercado en 2010, comenzaron a aparecer muchos más ataques a los teléfonos. dispositivos IoT (cámaras, sensores, electrodomésticos y cualquier cosa con software conectado a la red) se introdujeron con un monton de errores y agujeros de seguridad.
─Los dispositivos con Internet de las Cosas son un objetivo frecuente, mencionaste en tu charla.
─ Sí, como se llama RCE (Ejecución remota de códigoejecución remota de código) en dispositivos internet de las cosas. En otras palabras, un hacker puede tomar el control de un dispositivo conectado a Internet. Almacenamiento conectado a la red, impresoras, enrutadores de consumo, cámaras de seguridad: ese es el objetivo número uno de los ataques. Ahora tenemos otras tecnologías que están surgiendo y es solo cuestión de tiempo: Web 3, metaverso, Internet satelital. Todo lo nuevo trae consigo más ataques: la superficie se agranda.
─Tú “llevas” a los ciberdelincuentes al laboratorio. ¿Cómo los estudian?
─En primer lugar, trabajamos con un marco de lo que se denomina “TTP”, “Técnicas, Tácticas y Procedimientos” de ataque. A partir de esto, los ataques se normalizan, porque hay muchas formas diferentes de describir un ataque o una amenaza. Cuando observamos los ataques y los grupos de actores de amenazas, mapeamos todas las diferentes técnicas. es como el ADN. Piense en REvil, uno de los grupos de ransomware más destacados de estos años. analizamos el malware usan y podemos ver todas las diferentes formas en que intentan eludir los controles de seguridad o aumentar los privilegios. Todo esto debe ser actualizado y adaptado, porque los atacantes siempre encontrar una táctica
─Una de las bandas con más músculo es cerradura. ¿Qué saben sobre su ransomware y cómo lo estudian?
─Trabajamos sobre todo el perfil de la banda, porque queremos saber todo lo posible sobre ellos para encontrar nuevas técnicas y así poder apoyarlos con nuestros equipos. Sí, trabajamos en el “cifrado” [el ransomware que encripta los archivos]pero muy difícil porque es una banda muy sofisticada.
─¿Cuánto se tarda en estudiar el código fuente de Lockbit?
─Nosotros hacemos el análisis, no solo del cifrado del ransomware, sino del propio malware. Tienen capas y capas y capas de lo que llamamos empaquetadores, es decir, cifrado personalizado. Para darle una idea, mis mejores analistas pueden trabajar en un malware trivial, como un troyano o algo que no esté cifrado, y pueden escribir un informe completo en 24 horas, con muchos detalles. Con Lockbit puede tardar hasta 2 semanas de trabajo, porque hay muchas horas para repasar todo. Y es por eso que lo hacen: nos ralentizan, porque lleva mucho más tiempo aplicar ingeniería inversa a su código.
─Y el cifrado cambia para cada objetivo.
─Exactamente, el problema de estas bandas hoy en día es que utilizan cifrado simétrico, por lo que las claves de descifrado cambian según la víctima. No es solo uno. Antes se podía tener una solución para revertir todo el daño, pero con estas más sofisticadas es más difícil porque cambiar la clave de descifrado en cada objetivo. No se puede descifrar con la misma clave para todos.
Limpiaparabrisas: malware de destrucción masiva
Manky dijo en la charla con periodistas latinoamericanos que los limpiaparabrisas, programas que destruyen la información de la víctima, van en aumento. Según los últimos estudios de Fortiguard, ocho tipos de ataques que se utilizaron en la invasión de Ucrania, se multiplicaron a 14.700 casos en todo el mundo, con 3.081 detecciones en Latinoamérica.
─ ¿Cuál es el tipo de ataque más preocupante en la actualidad?
─La limpiaparabrisas constituyen el mayor peligro en la actualidad: los ciberataques destructivos. El ransomware y el robo de cuentas de correo electrónico corporativas (BEC) son comunes hoy en día, pero este año detectamos un fuerte crecimiento de este tipo de programas que se escriben en destruir datos de computadoras y teléfonos.
─¿Son algo nuevo o ya existían?
─Existían, pero normalmente en el pasado solo eran utilizados por ataques patrocinados por estados para destruir información de otras naciones. Un ciberdelincuente que hace ransomware no destruye el sistema porque quiere mantener al usuario como rehén: quiere cifrar los datos y quiere decir “Bueno, danos el dinero y te devolveremos tus datos”. Si los destruyes, no puedes devolverlos.
─Entonces, ¿qué motiva a un atacante a usar un limpiaparabrisas?
─Se utilizan tradicionalmente en los ataques de los estados nacionales, por ejemplo, en la guerra de Ucrania y Rusia. Son armas de guerra cibernética que se usan para voltear redes eléctricas, plantas de energía nuclear, destruir sistemas, e incluso vimos casos a nivel de firmware, donde flashearon sistemas y los hicieron completamente inútiles. Es totalmente destructivo. además es convirtiéndose en una mercancía, es una herramienta más en el repertorio de los ciberdelincuentes. Hay extorsión y luego doble extorsión. Es una gran amenaza y lo que están empezando a hacer es, en lugar de derribar todo, están derribando un par de sistemas para demostrar que hablan en serio. Quieren ser agresivos y demostrar que hay que tomarlos en serio.
─Y son críticos a nivel de infraestructuras, adviertes.
─Exactamente, los limpiaparabrisas son un tipo de malware más destructivo. No es como el ransomware, donde puedes intentar tener una estrategia para recuperar información: literalmente derriba todo, es como una bomba.
─Las copias de seguridad, ¿no son suficientes para recuperar la información?
─Sí, pero ten en cuenta que los atacantes van específicamente contra objetivos de alto valor: saben que si ciertos sistemas se caen, aunque sea por poco tiempo, cuesta mucho dinero. Podrían afectar una línea de producción en un planta industrialpor ejemplo, incluso si hay copias de seguridad, el daño es enorme.
─¿Qué está pasando con el ransomware?
─El volumen, el total de detecciones, es decreciente. Se volvió más estratégico: menos ataques, con más escala. El monto monetario va en aumento, porque es más notorio y está dirigido a grandes empresas y estados.
─¿Qué se puede esperar para los próximos cinco años?
─Bueno, que siga creciendo la superficie de ataque: la Web 3, el metaverso, el Internet de las cosas, los dispositivos portátiles. también los ataques basado en la computación cuántica, una herramienta que se puede utilizar para la seguridad, pero también para descifrar códigos, descifrar información cifrada y descifrar contraseñas. Creo que también veremos más ataques basados en inteligencia artificial.
─¿Más automatización en los ataques?
─Sí. Hasta ahora, los atacantes han tenido mucho éxito con lo que tienen a mano: ataques desde suplantación de identidad, por ejemplo. Pero ahora hay más automatización de ataques y muchas de las organizaciones han crecido, como se ve con el ransomware. Seguro que crecerán más y tendrán más técnicas de reclutamientoo (como ya sucede). Todo el ecosistema seguirá creciendo.
Acerca de la cumbre de expertos de Fortinet Fortinet
Cumbre de expertos es una cumbre anual organizada por Fortinet, una de las empresas líderes en seguridad informática. El evento reunió a expertos en seguridad informática durante 4 días, entre el 24 y el 28 de octubre, y reunió a la comunidad de Canadá, América Latina y el Caribe.
Hubo talleres especializados, charlas, mesas redondas y actualizaciones sobre los debates actuales en seguridad informática. Algunos de ellos, dedicados a periodistas de la región.
Clarín participó en la edición 2022 del evento, realizado en Cancún, México. Las primeras charlas globales (keynotes) estuvieron enfocadas en actualizaciones de firewalls, redes privadas (VPN) y FortiOS (el sistema operativo de la empresa, una distribución de Linux), además de servicios en la nube.
En gran medida, la estrategia de “confianza cero” fue el hilo conductor del evento: Zero Trust Network Access (ZTNA), es decir, asumir que las amenazas de ciberseguridad pueden entrar a través de cualquier actor, incluidos los empleados o trabajadores de una entidad. .
El evento cerró el viernes de la semana pasada con cerca de 400 asistentes.
SL
