Los investigadores de Kaspersky comparten su visión sobre las Amenazas Persistentes Avanzadas (APT) en 2021 y sobre los cambios que se producirán en el panorama de los ataques dirigidos en los próximos meses.
La crisis experimentada en 2020 traerá consigo muchos cambios estructurales y estratégicos, no sólo en nuestra vida cotidiana, sino también en el ámbito de los ataques dirigidos, debido a la mayor superficie de ataque. Los nuevos vectores, como el ataque a dispositivos de red y la búsqueda de vulnerabilidades 5G, se conjugarán con los ataques multi-etapas y acciones contra las empresas intermediarias que venden exploits de día cero.
El pronóstico se ha elaborado sobre la base de los cambios que el Equipo Mundial de Investigación y Análisis de Kaspersky (GReAT) presenció durante el año 2020, y se ha publicado para aportar directrices y conocimiento a la comunidad de ciberseguridad. Se completa con una serie de predicciones de amenazas de la industria y la tecnología, que ayudan a prepararse para los desafíos que se avecinan.
Los actores APT comprarán a los ciberdelincuentes accesos a la red
Una de las tendencias clave, y potencialmente más peligrosas que los investigadores de Kaspersky anticipan es el cambio de enfoque de los actores de la amenaza en la ejecución de los ataques.
El año pasado, los ataques de ransomware con objetivos específicos alcanzaron un nuevo nivel mediante el uso de malware genérico como medio para conseguir un punto de acceso inicial a las redes de los objetivos específicos. Se observaron conexiones entre éstas y redes clandestinas bien establecidas como Genesis, que suelen comerciar con credenciales robadas. Los investigadores de Kaspersky creen que los agentes APT comenzarán a utilizar el mismo método para comprometer a sus objetivos.
Así, las organizaciones deberían prestar mayor atención al malware genérico y realizar actividades básicas de respuesta a incidentes en cada ordenador comprometido para asegurarse de que no se ha utilizado malware genérico como medio para desplegar amenazas más sofisticadas.
Otras predicciones de amenazas específicas para 2021 incluyen:
- Más países usarán sitios web legítimos como parte de sus ciberestrategias: La predicción de Kaspersky de que los gobiernos recurrirían a “señalar y avergonzar” para llamar la atención hacia las actividades de grupos de ATP hostiles se ha hecho realidad, y más organizaciones seguirán este ejemplo. Exponer las herramientas de los grupos de APT no es algo nuevo; sin embargo, es la primera vez que se hace de manera oficial con agencias gubernamentales. Si bien es imposible cuantificar los efectos de la disuasión, especialmente sin acceso a los canales diplomáticos donde se tratan estos temas, creemos que en 2021 más países se sumarán a esta estrategia, perjudicando así las actividades y desarrollos de los actores al “quemar” los conjuntos de herramientas de sus oponentes como una forma de represalia.
- Más empresas de Silicon Valley tomarán medidas contra los brokers de zero-days. Tras los escandalosos casos en los que las vulnerabilidades de día cero en aplicaciones populares fueron explotadas para el espionaje en distintos objetivos, es probable que más empresas de Silicon Valley se posicionen contra los brokers de zero-days en un esfuerzo por proteger a sus clientes y su reputación.
- Aumento de ataques a appliances de red. Con el trabajo a distancia, la seguridad de la organización se ha convertido en una prioridad, y surgirá un mayor interés hacia los ataques a los dispositivos de red como las pasarelas VPN, así como acerca de la captura de credenciales para acceder a las VPNs corporativas a través de «vishing» de trabajadores remotos.
- Exigir dinero «con amenazas«. Los cambios en la estrategia de las bandas de ransomware están llevando a la consolidación de un ecosistema de ransomware diverso, pero bastante firme. Tras el éxito de las anteriores estrategias de ataques dirigidos, actores de ransomware aún más grandes comenzarán a centrar sus actividades y a obtener capacidades similares a las de las APT: con el dinero extorsionado podrán invertir grandes cantidades en nuevas herramientas avanzadas, con presupuestos comparables a los que manejan algunos de los grupos APT patrocinados por estados.
- Surgirán ataques más disruptivos como resultado de un ataque dirigido y orquestado contra infraestructuras críticas o daños colaterales, ya que nuestras vidas se han vuelto aún más dependientes de la tecnología, con una superficie de ataque mucho más amplia.
- Aparición de vulnerabilidades 5G. A medida que se extienda esta tecnología, y que un mayor número de dispositivos dependa de su conectividad, los atacantes tendrán un mayor incentivo para buscar vulnerabilidades a explotar.
- Los atacantes continuarán explotando la pandemia de COVID-19. Si bien no ha provocado cambios en las tácticas, técnicas y procedimientos de los actores de amenazas, el virus se ha convertido en un tema de interés persistente. Como la pandemia continuará hasta 2021, los ciberdelincuentes no dejarán de explotar este tema para afianzarse en los sistemas de objetivos.
«Vivimos en un mundo tan cambiante que es probable que ocurran eventos y procesos en el futuro que aún no hemos podido comprender. La cantidad y complejidad de los cambios que hemos presenciado y que han afectado al entorno de las ciberamenazas podría derivar en muchos escenarios. Además, no hay equipos de investigación de amenazas en el mundo que tengan plena visibilidad de las operaciones de los actores APT. Sí, el mundo es un lugar caótico, pero nuestra experiencia previa demuestra que hemos podido anticiparnos a muchos desarrollos APT antes, y por lo tanto prepararnos mejor para ellos. Seguiremos por este camino, comprendiendo las tácticas y métodos que subyacen a las campañas y actividades APT, compartiendo los conocimientos que adquirimos y evaluando el impacto que tienen estas campañas dirigidas. Lo que importa es seguir de cerca la situación y estar siempre listos para reaccionar, y confiamos en hacerlo», señala David Emm, investigador principal de seguridad de Kaspersky.
Las predicciones APT se han desarrollado gracias a los servicios de inteligencia de amenazas de Kaspersky utilizados en todo el mundo.
