Las organizaciones vinculadas a los Juegos Olímpicos de París 2024 tienen un mayor riesgo de sufrir ataques cibernéticos, incluidos ransomware, fugas de credenciales y campañas de phishing, según un estudio.
Insikt Group, la división de investigación de amenazas de la firma de seguridad Recorded Future, ya ha observado publicaciones que anuncian acceso a organizaciones relacionadas con los Juegos en Francia y credenciales comprometidas utilizando “paris2024”.[dot]org” en la Dark Web.
Estos hallazgos se publicaron en un nuevo informe que destaca las amenazas de alta prioridad a los Juegos, basándose en una evaluación de ataques pasados, amenazas existentes y contexto geopolítico.
Es más probable que las empresas de industrias como la hotelería y el transporte paguen un rescate durante los Juegos Olímpicos porque perderán más negocios de lo normal durante cualquier período de inactividad. Como resultado, los ciberatacantes verán los Juegos Olímpicos como una oportunidad lucrativa, afirma el informe.
Pero no son sólo las organizaciones las que están en riesgo, ya que los autores de “Hurdling over Hazards: Multifaceted Threats to the Paris Olympics” dicen que los asistentes “casi con seguridad” serán blanco de esquemas de phishing relacionados con los Juegos Olímpicos.
TechRepublic analiza más de cerca las amenazas cibernéticas de mayor prioridad para los Juegos Olímpicos de París 2024 identificadas en el informe.
Los atacantes de ransomware apuntan a empresas vinculadas a los Juegos Olímpicos de París
Los autores del informe “esperan ver a los ciberdelincuentes aprovechar las presiones que enfrenta una ciudad anfitriona para extorsionar pagos de ransomware”.
Las empresas involucradas en la organización de los Juegos se verán sometidas a una presión cada vez mayor para mantener niveles de servicio altos y continuos. Estarán involucrados en sectores como hotelería, transporte, logística, atención médica y gobierno. Estas empresas tampoco estarán acostumbradas a la demanda que vendrá con la nueva visibilidad y la llegada de 15 millones de turistas, a diferencia de los principales organizadores, el Comité Olímpico Internacional y el Comité Paralímpico Internacional.
VER: El 94% de las víctimas de ransomware tienen sus copias de seguridad como objetivo de los atacantes
Además, el número de empresas que optan por pagar el rescate cuando son atacadas por ransomware está disminuyendo actualmente, y el pago promedio disminuyó un 32 % entre el cuarto trimestre de 2023 y el primer trimestre de 2024. Como resultado, los ciberdelincuentes están muy motivados para lanzar un ataque exitoso.
Estos dos factores combinados significan que el riesgo de ataques de ransomware para las organizaciones asociadas con la realización de los Juegos es alto, ya que los atacantes aprovecharán la oportunidad para obtener un día de pago. De hecho, según el informe, los sectores de fabricación, comercio minorista y construcción se encuentran entre los cuatro más afectados por el ransomware en Francia en circunstancias normales.
Sin embargo, si bien el riesgo de un ataque de ransomware es alto, el nivel de interrupción “variará según el papel crítico desempeñado por la organización objetivo” y hay “casi ninguna posibilidad de detener por completo los Juegos Olímpicos de París” debido a un solo ataque. evento cibernético, según los autores del informe. Esto se debe a que la mayoría de las organizaciones y procesos que sustentan los Juegos operan por separado unos de otros, por lo que no habrá un efecto dominó de interrupción.
El ransomware forma parte de una doble extorsión
Los autores del informe afirman que es probable que las intrusiones de ransomware formen parte de ataques de doble extorsión. Los actores de amenazas no solo exigirán un pago a cambio de restaurar el acceso a los datos de la empresa, sino que también amenazarán con filtrarlos a la Dark Web o públicamente como ventaja adicional. La filtración de información podría poner a la empresa y a los Juegos en riesgo de sufrir nuevos ataques cibernéticos, sanciones financieras por parte de los organismos reguladores y daños significativos a su reputación.
Otras formas de extorsión con las que se podría combinar el ataque de ransomware incluyen la desfiguración de sitios web, el doxxing, la denegación de servicio distribuida y el acoso ejecutivo. Los impactos adicionales de estos ataques de doble extorsión ejercen aún más presión sobre las empresas para que paguen el rescate.
Corredores de acceso inicial que venden acceso remoto a empresas vinculadas a los Juegos Olímpicos de París
Los analistas de Insikt Group creen que el “mayor apetito” por un ataque de ransomware exitoso contra organizaciones asociadas con los Juegos Olímpicos de París generará una mayor actividad por parte de los intermediarios de acceso inicial.
Los IAB son actores de amenazas especializados que venden acceso remoto a redes corporativas comprometidas en foros de la Dark Web y a través de canales de comunicación privados como Telegram. Los operadores de ransomware u otros actores de amenazas pueden comprar acceso a organizaciones asociadas con los Juegos a las IAB para organizar sus ataques.
VER: Corredores de acceso inicial: ¿Cómo se relacionan los IAB con el aumento de los ataques de ransomware?
Entre principios de año y el 29 de abril de 2024, Insikt Group supervisó 17 pistas de amenazas para anuncios de métodos de acceso inicial para entidades francesas y 14 para industrias relacionadas con los juegos en Francia, incluidos deportes, entretenimiento y hotelería. Estos listados se encontraron en la Dark Web y en foros e incluían acceso a sistemas de protocolo de escritorio remoto, shells web, File Transfer Protocol Secure y un sistema de gestión de relaciones con el cliente con privilegios de administrador. Filtración de credenciales de empleados de los Juegos Olímpicos de París.
Insikt dice que “el volumen y el valor de las credenciales que afectan a los Juegos Olímpicos de París probablemente aumentarán en los meses previos al evento, para satisfacer la demanda de los actores de amenazas”.
Las credenciales comprometidas, obtenidas de malware de robo de información o de volcados de datos de la Dark Web, son una de las principales formas en que los actores de amenazas obtienen acceso al sistema de una organización objetivo. Se pueden utilizar para organizar campañas de ingeniería social, comprometer correos electrónicos comerciales, phishing u otros ataques que, si tienen éxito, pueden permitir el movimiento lateral a través de la red de una organización.
Entre el 1 de enero y el 29 de abril de este año, los analistas identificaron 624 referencias a credenciales comprometidas de empleados de los Juegos Olímpicos de París en tiendas y mercados de la Dark Web. Dominios incluidos juegos olímpicos[dot]es, paris2024[dot]organización y juegos paralímpicos[dot]org, y la información de inicio de sesión de una cuenta de correo electrónico “probablemente relacionada con un empleado actual”.
Estafas de phishing dirigidas a los asistentes a los Juegos Olímpicos de París y a empresas asociadas
“Es casi seguro que las estafas y señuelos de phishing con temática olímpica se dirigirán tanto a empresas como a asistentes”, escribieron los autores.
Los atacantes difundirán malware por correo electrónico y mensajes de texto que recopilarán credenciales u otra información de identificación personal. Los mensajes incluirán el “uso de lenguaje urgente en los correos electrónicos, la suplantación de ejecutivos o proveedores y el uso de sitios web maliciosos que se hacen pasar por proveedores o sistemas de emisión de boletos”.
VER: Spear Phishing vs Phishing: ¿Cuáles son las principales diferencias?
Los analistas ya han observado registros typosquat de dominios de los Juegos Olímpicos, donde los términos han sido mal escritos deliberadamente para dirigir a quienes buscan un sitio web legítimo a una versión fraudulenta en caso de un error ortográfico.
Consejos de mitigación para las amenazas cibernéticas de los Juegos Olímpicos de París
Los autores del informe han proporcionado algunas medidas de mitigación que las organizaciones relacionadas con los Juegos Olímpicos de París pueden adoptar para reducir el riesgo de sufrir un ciberataque:
- Garantice una visibilidad integral de la superficie de ataque de la organización con una plataforma de inteligencia de amenazas. Preste atención a las alertas, automatice las soluciones y realice un seguimiento del panorama de amenazas.
- Identifique registros de robo de información y fugas de credenciales relacionados con su organización y supervise los anuncios de IAB para evitar apropiaciones de cuentas, robo de datos, ransomware y otros ataques.
- Detecte y elimine suplantaciones de dominios y marcas que podrían usarse para estafar a clientes o terceros.
- Crear conciencia sobre el phishing dentro de la empresa y priorizar la reparación de vulnerabilidades de alto riesgo.
- Monitorear el entorno geopolítico en busca de eventos que podrían alterar la intención de las naciones adversarias de realizar intrusiones cibernéticas contra los Juegos Olímpicos de París.
“Los organizadores y las partes interesadas asociadas deben centrarse en una estrategia de seguridad adaptable que tenga en cuenta el panorama de amenazas geopolíticas, así como las capacidades de varios grupos”, escribieron los autores.
“Monitorear la evolución de los TTP de los actores de amenazas cibernéticas y de influencia y la adopción de nuevas tecnologías que garanticen defensas cibernéticas sólidas entre todas las organizaciones involucradas en los Juegos Olímpicos de París, desde el COI hasta el transporte público, y fomentar la cooperación internacional en el intercambio de inteligencia serán fundamentales para garantizar el intercambio fluido. funcionamiento de los Juegos Olímpicos de París”.
