Trace Id is missing

Inteligencia sobre amenazas anual de 2023 en reseña: Desarrollos e información clave

Un círculo rojo en el cielo

Ha sido un año increíble para la Inteligencia contra amenazas Microsoft. El volumen de amenazas y ataques revelado a través de los más de 65 billones de señales que supervisamos a diario nos ha dado muchos puntos de inflexión, principalmente al ver un cambio en la escala de los actores de amenazas y el aprovechamiento del apoyo del estado de la nación. El año pasado se produjeron más ataques que nunca, y las cadenas de ataque son más complejas cada día que pasa. Los tiempos de espera se han acortado. Las tácticas, técnicas y procedimientos (TTP) han evolucionado para hacerse más ágiles y evasivas. Repasar los detalles de estos incidentes nos ayuda a ver las pautas para poder determinar cómo responder a las nuevas amenazas y anticipar en qué dirección pueden moverse a continuación. Nuestro análisis de los TPP de 2023 pretende ofrecer una visión global del panorama de la inteligencia sobre amenazas a través de lo que hemos observado en incidentes en todo el mundo. Estos son algunos de los aspectos más destacados que Sherrod DeGrippo y yo queremos compartir con vosotros, junto con algunos fragmentos de vídeo tomados de nuestro debate en Ignite 2023.

John Lambert,
Vicepresidente corporativo de Microsoft y responsable de la seguridad

Taxonomía de nombres de actores de amenazas

En 2023, Microsoft cambió a una nueva taxonomía de nombres de actores de amenazas con temática meteorológica que (1) se ajusta mejor a la creciente complejidad, escala y volumen de las amenazas modernas y (2) proporciona una forma más organizada, fácil de recordar y sencilla de hacer referencia a los grupos de adversarios.1

Microsoft clasifica a los actores de amenazas en cinco grupos clave:

Operaciones de influencia de estados nación: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

En nuestra nueva taxonomía, un fenómeno meteorológico o un nombre de familia representa una de las categorías anteriores. Los actores de amenazas dentro de la misma familia meteorológica reciben un adjetivo para distinguir los distintos grupos, excepto los grupos en desarrollo, que reciben números de cuatro dígitos.

Tendencias de 2023 en materia de tácticas, técnicas y procedimientos (TTP) contra las amenazas

Evitar herramientas personalizadas y malware

Los grupos de actores de amenazas que confían en el sigilo han evitado selectivamente el uso de malware personalizado. En su lugar, utilizan herramientas y procesos existentes en el dispositivo de su víctima para ocultarse junto a otros actores de amenazas que utilizan métodos similares para lanzar ataques. 2

John Lambert, vicepresidente corporativo de Microsoft y responsable de seguridad, comenta brevemente cómo los actores de amenazas evitan las herramientas personalizadas llamativas para ser sigilosos. Ve el vídeo siguiente:

Combinar operaciones de influencia (IO) y cibernéticas

Durante el verano, Microsoft observó que algunos actores estatales combinaban los métodos de las operaciones cibernéticas y las operaciones de influencia (OI) en un nuevo tipo híbrido que hemos denominado "operaciones de influencia cibernética". Esta nueva táctica ayuda a los actores a potenciar, amplificar o compensar las deficiencias de sus capacidades de acceso a la red o de ciberataque. 3 Los métodos cibernéticos incluyen tácticas como el robo de datos, la desfiguración, el DDoS y el ransomware en combinación con métodos de influencia como la filtración de datos, las identidades falsas, la suplantación de la identidad de las víctimas, las redes sociales y la comunicación por SMS/correo electrónico.
Conjunto compatible con la web de métodos cibernéticos y de influencia

Comprometer los dispositivos de red periféricos SOHO

Los actores de amenazas establecen redes clandestinas a partir de dispositivos de red periféricos de pequeñas oficinas y oficinas domésticas (SOHO), e incluso utilizan programas para ayudar a localizar puntos de conexión vulnerables en todo el mundo. Esta técnica complica la atribución, ya que los ataques parecen aparecer prácticamente de cualquier lugar.4

En este vídeo de 35 segundos, John Lambert, de Microsoft, explica por qué los actores de amenazas encuentran en los dispositivos de red SOHO objetivos tan atractivos. Ve el vídeo siguiente:

Los actores de la amenaza obtienen un acceso inicial a través de diversos medios

En Ucrania y en otros lugares, los investigadores de Inteligencia contra amenazas Microsoft han observado que los actores de amenazas obtienen acceso inicial a los objetivos utilizando un kit de herramientas diverso. Entre las tácticas y técnicas más comunes se encuentran la vulneración de aplicaciones de Internet, la piratería de software y el phishing de objetivo definido. 5 reactivo, que rápidamente incrementó sus operaciones cibernéticas y de influencia tras los atentados de Hamás para contrarrestar a Israel.

Hacerse pasar por víctimas para añadir credibilidad

Una tendencia creciente en las operaciones de influencia cibernética consiste en suplantar la identidad de organizaciones supuestamente víctimas, o de figuras destacadas de esas organizaciones, con el fin de añadir credibilidad a los efectos del ciberataque o del compromiso. 6

Rápida adopción de POC divulgados públicamente para el acceso inicial y la persistencia

Microsoft ha observado cada vez con más frecuencia que determinados subgrupos de Estados nación adoptan código de prueba de concepto (POC) divulgado públicamente poco después de su publicación para aprovechar vulnerabilidades en aplicaciones para Internet. 7

 

La siguiente figura ilustra dos cadenas de ataque favorecidas por un subgrupo de Estado nación que Microsoft ha observado. En ambas cadenas, los atacantes utilizan Impacket para moverse lateralmente.

Ilustración de cadena de ataque.

Los actores de amenazas intentan utilizar la mensajería SMS masiva para ponerse en contacto con un público objetivo

Microsoft observó que múltiples actores intentaban utilizar la mensajería SMS masiva para potenciar la amplificación y los efectos psicológicos de sus operaciones de ciberinfluencia. 8

La siguiente figura muestra dos mensajes SMS, uno al lado del otro, de actores de amenazas que se hacen pasar por una red deportiva israelí. El mensaje de la izquierda contiene un vínculo a una página web alterada de Sport5. El mensaje de la derecha dice: "Si te gusta tu vida, no viajes a nuestros países".

Telegram de Atlas Group: Recortes de pantalla de SMS imitando una red deportiva israelí.

Las operaciones de las redes sociales aumentan su interacción eficaz con el público

Las operaciones de influencia encubiertas han ahora empezado a interactuar de forma inicial con su público objetivo en las redes sociales con más frecuencia que anteriormente, lo que representa mayores niveles de sofisticación y cultivo de recursos de operaciones de influencia online.9

 

A continuación se muestra un gráfico de Black Lives Matter que inicialmente lo público la cuenta automatizada de un grupo de Estado nación. Siete horas después, una cuenta que se hacía pasar por un votante conservador estadounidense volvió a publicarlo.

Declaración de apoyo a Black Lives Matter, condenando la discriminación, la violencia policial, defendiendo la dignidad y la seguridad

Especialización en la economía del ransomware

Los operadores de ransomware en 2023 han tendido hacia la especialización, optando por centrarse en una pequeña gama de capacidades y servicios. Esta especialización tiene un efecto de fragmentación, ya que propaga los elementos de un ataque de ransomware entre varios proveedores en una compleja economía sumergida. En respuesta, Inteligencia contra amenazas Microsoft realiza un seguimiento individualizado de los proveedores, observando el tráfico en el acceso inicial y luego en otros servicios.10

 

En un extracto de vídeo de la conferencia Ignite, el director de estrategia de Inteligencia contra amenazas Microsoft, Sherrod DeGrippo, describe el estado actual de la economía de los servicios de ransomware. Ve el vídeo siguiente:

Uso constante de herramientas personalizadas

Mientras que algunos grupos evitan activamente el malware personalizado con fines de ocultación (ver más arriba "Evitar las herramientas y el malware personalizados"), otros se han alejado de las herramientas disponibles públicamente y de los scripts sencillos en favor de enfoques a medida que requieren un manejo más sofisticado.11

Centrarse en la infraestructura

Aunque las organizaciones de infraestructuras (plantas de tratamiento de agua, operaciones marítimas o organizaciones de transporte) no tienen el tipo de datos valiosos que atraen a la mayoría de los ciberespías debido a su falta de valor de inteligencia, sí tienen un valor disruptivo. 12

 

John Lambert, de Microsoft, presenta brevemente la paradoja del ciberespionaje: un objetivo que no parece contener datos. Ve el vídeo siguiente:

Como muestran los detalles de los 11 puntos de 2023 que acabamos de examinar, el panorama de las amenazas evoluciona continuamente, y la sofisticación y frecuencia de los ciberataques sigue aumentando. No cabe duda de que los más de 300 actores de amenazas que rastreamos siempre intentarán algo nuevo y lo combinarán con las TTP de eficacia probada. Eso es lo que nos gusta de estos actores de amenazas: a medida que los analizamos y comprendemos sus roles, podemos predecir sus próximas acciones. Y ahora, con la IA generativa, podremos hacerlo más rápido y expulsar antes a los atacantes.

 

Dicho esto, pasemos a 2024.

 

Para obtener información y noticias sobre la inteligencia sobre amenazas que puedes encontrar sobre la marcha, consulta El podcast sobre Inteligencia contra amenazas Microsoft presentado por Sherrod DeGrippo.

  1. [5]

    Un año de guerra híbrida rusa en Ucrania. Página 14

  2. [6]

    Irán recurre a las operaciones de influencia cibernética para lograr un mayor efecto. Página 11.

  3. [8]

    Irán recurre a las operaciones de influencia cibernética para lograr un mayor efecto. Página 11.

  4. [9]

    Las amenazas digitales procedentes de Asia Oriental aumentan en amplitud y eficacia. Página 6

  5. [10]

    Un año en Intel: Lo más destacado de la campaña mundial de Microsoft contra las APT

  6. [11]

    Irán recurre a las operaciones de influencia cibernética para lograr un mayor efecto. Página 12.

  7. [12]

    Un año en Intel: Lo más destacado de la campaña mundial de Microsoft contra las APT

Artículos relacionados

Los actores de amenazas rusos se atrincheran y se preparan para aprovechar la fatiga de la guerra

Las operaciones cibernéticas y de influencia rusas persisten mientras la guerra continúa. Inteligencia contra amenazas Microsoft detalla las últimas actividades de ciberamenazas e influencia durante los últimos seis meses.

Volt Typhoon ataca la infraestructura crítica de EE. UU. con técnicas "living-off-the-land"

Inteligencia contra amenazas Microsoft descubrió un aumento de las operaciones de influencia cibernética desde Irán. Obtén información sobre amenazas con detalles sobre nuevas técnicas y posibles amenazas futuras.

Ransomware como servicio: La nueva cara del ciberdelito industrializado

Inteligencia contra amenazas de Microsoft examina un año de operaciones cibernéticas y de influencia en Ucrania, descubre nuevas tendencias en ciberamenazas y qué esperar cuando la guerra entra en su segundo año.

Seguir a Seguridad de Microsoft