*Por Tom Kellermann, responsable de estrategia de ciberseguridad de VMware
Ciudad de México, abril de 2022.- Ha
habido una reestructuración fundamental en los carteles del ciberdelito
gracias a la creciente economía de escala de la Internet oscura. Grupos
poderosos de ciberdelincuentes ahora funcionan como corporaciones
multinacionales, y los sindicatos de crímenes tradicionales confían en
ellos para que lleven a cabo actividades ilícitas como extorsiones y
lavado de dinero. Los carteles del ciberdelito están más organizados que
nunca y disfrutan de recibir más protección y recursos de los Estados
nación que los consideran activos nacionales.1
Con
esta realidad como escenario de las amenazas que enfrentan las
instituciones financieras, entrevisté a 130 líderes en seguridad
financiera y directores de seguridad de la información (CISO) de todo el
mundo para la quinta edición del informe Modern Bank Heists
(Ataques bancarios modernos). Los hallazgos de este año deberían servir
como una advertencia para el sector financiero de que los delincuentes
están pasando de solo atacar a también destruir.
La tensión geopolítica está haciendo metástasis en el ciberespacio
Los
ciberdelincuentes que apuntan al sector financiero suelen intensificar
sus ataques destructivos para eliminar la evidencia y, así,
contrarrestar el plan de respuesta a incidentes. Nuestro informe reveló
que el 63 % de las instituciones financieras sufrieron un aumento en los
ciberataques destructivos, un 17 % más que el año pasado. Los ataques
destructivos se lanzan de manera punitiva para destruir, dañar o
degradar los sistemas de las víctimas a través de medidas como la
encriptación de archivos, la destrucción de discos duros, la
interrupción de conexiones o la ejecución de códigos maliciosos. De
hecho, recientemente, hemos sido testigos de malware destructivo
como HermeticWiper, que se lanzó luego de la invasión de Rusia a
Ucrania. Notablemente, la mayoría de los líderes financieros con los que
hablé cuando realicé este informe, indicaron que Rusia representa la
mayor preocupación para su institución.
El año de las RAT
Las
instituciones financieras definitivamente no estuvieron exentas de la
reciente reaparición del ransomware. El 74 % de los líderes en seguridad
financiera sufrieron uno o más ataques de ransomware en el último año, y
el 63 % de estas víctimas pagó el rescate. Esta es una estadística
alarmante.
Una
de las razones por las cuales los sindicatos del crimen tradicional se
convirtieron en clientes fieles de la Internet oscura es por el
ecosistema bien financiado de kits de ransomware disponibles y listos
para su uso. Los carteles del ciberdelito, como la pandilla de
ransomware Conti, facilitaron a sus asociados el lanzamiento de ataques
de ransomware en industrias críticas como el sector financiero.
Un análisis técnico en el último informe de amenazas
de VMware Threat Analysis Unit, brinda un panorama sobre cómo se
extendió el ransomware y cómo las herramientas de acceso remoto (RAT)
ayudan a los adversarios a ganar control de los sistemas. El ransomware
tiene una relación siniestra con estas RAT, ya que estas herramientas
permiten a los actores maliciosos continuar dentro del entorno y
establecer un servidor de prueba que se puede utilizar para atacar
sistemas adicionales. Una vez que el adversario obtiene este acceso
limitado, suele trabajar para monetizarlo. Para ello, se vale de los
datos de la víctima a fin de extorsionarla (incluida la doble y triple
extorsión) o roba recursos de los servicios de nube utilizando ataques
de cryptojacking.
La manipulación de los mercados financieros
Los
carteles del ciberdelito se dieron cuenta de que el activo más
importante de las instituciones financieras es la información privada
sobre los mercados. El 66 % (2 de 3) de los líderes que entrevisté
sufrieron ataques orientados a las estrategias de mercado, y el 25 %
(1 de 4) indicó que los datos del mercado fueron el principal objetivo
de los ciberataques en sus instituciones financieras.
¿Qué
están buscando exactamente los carteles del ciberdelito? Estamos siendo
testigos de la evolución de los ataques bancarios en espionaje
económico, donde los ciberdelincuentes apuntan a la información o las
estrategias corporativas que pueden afectar el precio de las acciones de
una empresa, apenas esto se hace público. Luego, estos datos se pueden
utilizar para digitalizar la información privilegiada y hacer una
inversión ventajista en el mercado. Nuestro informe también reveló que
el 44 % de los ataques Chronos estaban orientados a las posiciones en el
mercado. Un ataque de este tipo implica la manipulación de los
registros de tiempo, un hecho preocupante teniendo en cuenta el rol
crítico que juega el reloj en los mercados.
La defensa es la mejor ofensiva
La
seguridad se ha convertido en el problema principal de los líderes del
sector financiero. Según los hallazgos de nuestro informe, la mayoría de
las instituciones financieras planifican aumentar el presupuesto de
seguridad entre un 20 y 30 % este año, así como designar la detección y
respuesta extendida como su prioridad principal en la inversión de
seguridad.
Como
líderes en seguridad, sabemos que una defensa sólida es la mejor
ofensiva. La persecución moderna de amenazas semanalmente debería
adoptarse como una práctica recomendada para ayudar a los equipos de
seguridad a detectar anomalías en el comportamiento, ya que los
adversarios pueden mantener persistencia clandestina en los sistemas de
las organizaciones. Nuestro informe reveló que solo el 51 % de las
instituciones financieras llevan a cabo persecuciones de amenazas
semanalmente hoy en día. Tengo la esperanza de que este porcentaje
aumentará en el informe del año próximo, ya que este tipo de programas
tienen varios beneficios además de encontrar ciberdelincuentes, como
promover la inteligencia de detección de amenazas.
En
el panorama de amenazas cambiante de hoy, la ciberseguridad se ha
convertido en la protección fundamental de las marcas. La confianza en
la seguridad de las instituciones financieras depende de evitar, mitigar
y atacar de manera efectiva las amenazas cibernéticas modernas.
Descargue el informe completo para obtener más información: Modern Bank Heists 5.0
- Intel 471,
"The blurry boundaries between nation-state actors and the cybercrime
underground" (Los límites difusos entre los actores de los Estados
nación y el ciberdelito clandestino), 8 de junio de 2021.
No hay comentarios:
Publicar un comentario