Guerra de Ucrania y Seguridad Informática

Información suministrada por ESET ® a partners Abril 2022

En nuestro día a día gestionamos redes y sistemas de empresas, muchas de ellas Pymes y es impactante ver en las consolas de gestión de seguridad el incremento de ataques de distintos tipos y colores.

Es un hecho que cualquier acción de índole bélica entre países, como es el caso actual de Rusia y Ucrania, se utilice la ciberguerra como una herramienta más de la contienda.

Estas acciones están dirigidas contra la infraestructura crítica de los países y además estos tipos de ataques suelen no quedar confinados estrictamente a los objetivos que se plantearon sus creadores.

¿Qué buscan estos tipos de ataques?

Según la empresa ESET ®, ataques a esta escala buscan debilitar el sistema nervioso de los países y sus empresas; la economía, las finanzas, los sistemas de salud, los sistemas de energía, las comunicaciones etc.

Se trata de acciones masivas, no dirigidas contra una empresa en particular como podría ser un espionaje industrial, sino contra un conjunto de instituciones, organizaciones y empresas consideradas estratégicas y también por extensión a sus proveedores, clientes etc. Es decir todos podemos vernos afectados directa o indirectamente.

No hay que perder de vista que en situaciones de guerra informática el objetivo es espiar, bloquear, impedir, inutilizar, destruir, introducir información falsa, controlar… no se trata solamente del hecho de pedir un “rescate” por los datos secuestrados.

Secuencia de Principales Ataques entre Países

Haremos un breve análisis de secuencia y evolución de este tipo de ataques, hay abundante información en la web al respecto, lo que nos interesa es mostrar la secuencia. Tampoco nombraremos a los “supuestos autores” dado que a ciencia cierta, se desconoce su origen real (aunque se puede intuir a quienes podrían responder si observamos los objetivos atacados).

2010 – Stuxnet. Uno de los más antiguos mediante un gusano, aparentemente dirigido a mezcladoras de Uranio y Centrales nucleares que poseían una tecnología en común (Siemens ® ), pensado contra Irán; si bien no tuvo un éxito rotundo se sospecha que hubo atrasos en la puesta en marcha de algunas centrales nucleares debido a este malware no sólo en Irán sino también en India.

2011 – Havex. Un RAT (Troyano de Acceso Remoto), cuyo objetivo es el espionaje, tomar screenshots, transferir archivos, robar credenciales de acceso etc. Dirigido a un vasto universo de empresas, petroquímicas, farmaceuticas, energía, defensa y cuando hablamos de empresas dedicadas a… también incluye a proveedores y clientes de las mismas sean del tamaño que sean. Golpeó en regiones de Canadá y USA.

2012 – Shamoon. Un virus contra Windows ® de carácter destructivo (sobre escribía el master boot record del sistema infectado) dirigido contra Arabia Saudita y Qatar, específicamente contra la empresa Aramco ®.

2015 – BlackEnergy. Usado contra dispositivos Cisco ® buscando denegación de servicio y toma de control por backdoor, específicamente contra Ucrania.

2016 – Industroyer. Un malware contra sistemas de control, que “apagó”, literalmente hablando, a gran parte de Kiev, durante más de una hora.

2017 – Tryton. Un malware que aprovechando deficiencias en Windows ® para atacar sistemas de seguridad y control, fue usado contra petroquímicas en Arabia Saudita.

2017 Llegan los ransomwares…

2017 – WanaCry. Gusano que ataca una vulnerabilidad de Windows ® empleando un “exploit” denominado “EternalBlue”; hablamos en su momento sobre él (ver https://www.netqual.com.ar/netqual/seguridad-informatica-sobre-mitos-y-verdades/)

Los más afectados fueron Rusia, Ucrania, India y Taiwán, así como partes del servicio nacional de salud de Gran Bretaña (NHS), Telefónica de España, FedEx, Deutsche Bahn, y las aerolíneas LATAM; junto con muchos otros a nivel mundial.

Como dato, en nuestro país pegaron más fuerte sus “variantes” como Locky y Wallet, que llegaron a afectar a un 15 a 20% de Pymes. Todos solicitaban “rescate” con la modalidad de Ransomware y encripción de archivos.

2017 – Petya. Ransomware que se distribuyó aprovechando DropBox y afectó a Francia, Alemania, Italia, Polonia, Reino Unido y Estados Unidos, pero que la mayoría de las infecciones actuaron en Rusia y Ucrania.

2020 – ColdLock. Un ransomware que se introducía como un ejecutale “.net” que atacó en Taiwan. Entre ellas CPC Corp (petrolera estatal) a empresas afines y a sectores de telecomunicaciones y empresas de producción de semiconductores.

2021 – DarkSide. Un ransomware que además de robar información de cientos de servidores, detuvo todas las operaciones del Oleducto Colonial Pipe de USA.

2022 – Hermetic Wiper. Un ransomware que aprovecha los elevados privilegios en el host comprometido anulando los registros y configuraciones de arranque, borrar las configuraciones del dispositivo y eliminar las copias de seguridad. Este malware mantiene el dominio en ejecución y permite que el ransomware use credenciales válidas para autenticarse en los servidores y cifrarlos. Dirigido específicamente a Ucrania, sólo con fines de control y destrucción de información.

Ataques Combinados y Wipers

Un ataque combinado, reúne un conjunto de las amenazas más conocidas

Además están proliferando los denominados “Wipers” que no son otra cosa que modificaciones a los ransomware clásicos para que la información sea destruida ó inutilizada. Como dijimos al principio, hay casos donde el objetivo no es pedir rescate, es destruir.

Las amenazas ya conocidas, que además se usan en ataques combinados son:

  1. APT (Advanced Persistance Threat). Persigue mantener el control por mucho tiempo, incluso años, evitando dar indicios de su presencia. El sigilo es la principal característica.
  2. DDoS (Denegación de Servicios Distribuido). Apunta a bloquear una operación, desde voltear un equipo hasta congestionar tráfico, donde el ataque se produce en simultáneo desde muchos orígenes. Suelen usarse redes de “bots” al efecto.
  3. Phishing. El conjunto de técnicas y “artimañas” para ganar la confianza de la víctima y guiarla a realizar acciones que no debería hacer.
  4. Gusano informático (worms). Se propagan usando generalmente fallas de los sistemas, infectando la mayor cantidad de equipos posibles, antes de la acción específica. Usan principalmente el email como medio.
  5. Troyanos. Se presentan como un elemento inofensivo. Buscan principalmente acceder empleando backdoors en los sistemas y apuntan a robar información (credenciales de acceso)
  6. Exploits de día cero. Es un código malicioso que buscan una falla desconocida no sólo para el usuario, sino también por el fabricante. Lo de día cero, hace referencia a que muchas veces esta información se obtenía pirateando la PC de los desarrolladores del software en cuestión, antes de que este saliera al mercado.
  7. Botnets. Es generalmente un conjunto de robots informáticos que se ejecutan coordinadamente buscando, vulnerabilidades, errores o fallos de seguridad, prueba de fuerza bruta contra passwords poco robustas.

Conclusiones

La guerra informática está plenamente activa y lógicamente los conflictos se reflejan en el ciberespacio.

Si observamos la secuencia de los principales ataques informáticos, y en particular del caso en cuestión “Rusia/Ucrania” muchas acciones en el ciberespacio precedieron o se aplicaron en simultáneo con las acciones bélicas en el territorio.

Los diversos ataques que día a día se crean, pueden generar daños colaterales a todos quienes se conecten en la Red. De hecho, muchas variantes de los malwares creados con fines estratégicos entre naciones, luego son usados para esparcirlos y atacar a un enorme universo de objetivos, con diversos fines.

Ante esta situación ya no basta simplemente con contar con algún sistema de seguridad básico.

La sugerencia de ESET ® que compartimos previamente, es que la seguridad va más allá de un antivirus.

Si analizar la seguridad como un compartimiento estanco en una red de datos, era un error, dado que se debe analizar la seguridad integralmente con todo el conjunto de red y sistemas, hoy en día también es un error pensar solamente en la tecnología… es fundamental incluir la Gestión, en la Visión.

Seguridad Tecnológica

A todo el universo conocido de seguridad tecnológica que venimos planteando en muchas entradas anteriores, a modo de síntesis hablamos de:

  • Tablas y reglas en Router/Firewall
  • Soft de Seguridad+Antivirus+Técnicas de detección y prevención.
  • Listas de accesos y mecanismos de encripción en Switches/Accesos WiFi.
  • Implementación de Redes Virtuales con mecanismos de seguridad.
  • Accesos remotos resguardados mediante métodos múltiples y preferentemente Web.
  • Políticas/credenciales/AD/LDAP.
  • Servidores virtualizados en ambientes mixtos.
  • Microsegmentación y Respaldos múltiples de información/Snapshots.
  • Autenticación multifactor…

(y puede haber algo más dependiendo de la naturaleza del tráfico de la red y del negocio en particular que desarrollemos).

Gestión Integral

Hay que sumar a la lista las siguientes actividades de gestión:

  • Actualizaciones de soft/sistemas.
  • Clasificación de la información.
  • Políticas integrales de seguridad (concepto amplio, va desde técnicas de reducción de la exposición, pasando por análisis de vulnerabilidades hasta informar y capacitar a los usuarios).
  • Plan de continuidad del negocio.

No es posible concebir la seguridad informática en el contexto actual, sin la Gestión Integral de las Redes y los Sistemas.

® Son marcas Registradas de Terceros.

Contáctenos:

http://www.netqual.com.ar/netqual/contacto/

Soporte Técnico IT Redes y Sistemas

ESET

 

Deje un comentario