Durante la última década, el número y el nivel de complejidad de los ataques cibernéticos por parte de grupos de piratas informáticos progubernamentales y cibercriminales con motivación financiera ha aumentado significativamente. Las personas, las empresas y las organizaciones gubernamentales ya no pueden confiar en la seguridad del ciberespacio, así como en la integridad y seguridad de sus datos. Internet se ha convertido en el sistema circulatorio de nuestra civilización. Sin embargo, la libertad de comunicación y las oportunidades globales que brinda Internet están cada vez más amenazadas: ciruelas y filtraciones de datos, ataques cibernéticos por parte de estados en guerra: estas son las realidades en las que cada uno de nosotros vive hoy.

La tendencia líder y más aterradora en 2019, consideramos el uso de armas cibernéticas
en operaciones militares abiertas. El conflicto entre los estados ha adquirido nuevas formas, y la actividad cibernética desempeña un papel de liderazgo en este diálogo destructivo. Los ataques a la infraestructura crítica y la desestabilización selectiva de Internet en países individuales marcan el comienzo de una nueva era de ciberataques. Estamos seguros de que una existencia pacífica ya no es posible aisladamente de la ciberseguridad: ningún estado, ninguna corporación, nadie puede ignorar este factor.

Hace seis años, lanzamos el primer informe de Tendencias delictivas de alta tecnología. Luego fue el único estudio de las tendencias del cibercrimen en Rusia y uno de los primeros en el mundo. Como antes, el informe anual del Grupo IB muestra los cambios que han ocurrido durante el año, siendo la fuente única y más completa de datos estratégicos y tácticos sobre las ciberamenazas actuales en el mundo. Este estudio describe el período H2 2018 - H1 2019.

Realización de operaciones militares abiertas con armas cibernéticas.

En los primeros 6 meses de 2019, se conocieron tres operaciones militares abiertas: en marzo, como resultado del ataque a las centrales hidroeléctricas venezolanas, la mayor parte del país se quedó sin electricidad durante varios días, en mayo, en respuesta a un ataque cibernético, el ejército israelí lanzó un ataque con misiles contra los piratas informáticos de Hamas, y en junio, Estados Unidos usó armas cibernéticas contra los sistemas de control de lanzamiento de misiles iraníes en respuesta a un avión no tripulado estadounidense caído.

No se instalaron herramientas de ataque, y en este último caso, se produjo un ataque cibernético solo unos días después del incidente del dron. Esto confirma la suposición de que las infraestructuras críticas de muchos países ya están comprometidas, y los atacantes simplemente pasan desapercibidos hasta el momento adecuado.

Violación de la estabilidad de Internet a nivel estatal.

En el mundo moderno, el daño social y económico máximo puede ser causado al desconectar a las personas y las empresas de la comunicación. Al mismo tiempo, los países que construyen un control de acceso centralizado a Internet se están volviendo más vulnerables y pueden convertirse en el primer objetivo.
En los últimos años, se han probado ataques en varios niveles de la infraestructura de comunicaciones, y para 2019 ha habido casos exitosos de ataques en el enrutamiento de Internet y el secuestro de BGP, en los registradores de nombres de dominio, los administradores del servidor DNS raíz, los administradores de dominio nacional y el secuestro de DNS, en los sistemas de filtrado locales. y bloqueo de tráfico.

Nuevas amenazas asociadas con la adopción generalizada de 5G

El cambio a la tecnología 5G solo agravará la situación de amenaza para la industria de las telecomunicaciones. La primera razón son las características arquitectónicas que abren oportunidades para nuevos tipos de ataques en las redes de operadores. La segunda razón es la competencia por un nuevo mercado, que puede conducir a una demostración de las capacidades de pirateo de proveedores individuales y al surgimiento de una gran cantidad de estudios anónimos sobre las vulnerabilidades de ciertas soluciones tecnológicas.

Amenazas ocultas de grupos progubernamentales

A pesar del hecho de que se ha publicado un número relativamente grande de estudios sobre nuevos grupos progubernamentales en el último período, esta área sigue siendo poco conocida. Se notó la actividad de 38 grupos (7 - nuevo, cuyo propósito es el espionaje), pero esto no significa que otros grupos conocidos hayan detenido su actividad; lo más probable es que sus campañas simplemente permanecieron fuera del radar de los analistas.

Por ejemplo, en el sector energético, solo se conocen dos marcos: Industroyer y Triton (Trisis), y ambos se encontraron como resultado del error de sus operadores. Lo más probable es que haya un número significativo de amenazas similares no detectadas, y esta es una bomba de tiempo.

También vale la pena señalar que los grupos progubernamentales conocidos en el espacio público son principalmente de países en desarrollo, sin embargo, la información sobre ataques y herramientas de dichos grupos de países desarrollados aún no se publica.

Piratería inversa: oposición de grupos progubernamentales

En 2019, los casos de aparición de información disponible públicamente se han vuelto más frecuentes
sobre atacar herramientas en nombre de supuestos hacktivistas o ex miembros del grupo. Muy a menudo, estos son ejemplos de piratería inversa, cuando los propios atacantes se convierten en víctimas. En la actualidad, las empresas privadas no tienen derecho a realizar tales operaciones, y solo los servicios estatales especiales tienen oficialmente tales poderes.

Ataques dirigidos a bancos extranjeros por grupos de habla rusa

Ahora solo 5 grupos representan una amenaza real para el sector financiero: Cobalt, Silence, MoneyTaker - Rusia, Lazarus - Corea del Norte, SilentCards - un nuevo grupo de Kenia.
En Rusia, el daño de los ataques dirigidos a los bancos por grupos con motivación financiera durante el período de estudio disminuyó en casi 14 veces. Esto se debe, entre otras cosas, a cambiar el enfoque de los grupos con motivación financiera de habla rusa a los bancos extranjeros.

La desaparición gradual de troyanos para PC y Android

La tendencia a la desaparición de troyanos para PC del panorama de las amenazas cibernéticas continúa: en Rusia, en el "hogar" de este tipo de malware, dejaron de escribirlos. Brasil fue el único país que creó troyanos activamente, pero su uso es exclusivamente local. Solo Trickbot ha evolucionado significativamente durante el año pasado y ahora puede usarse tanto para ataques dirigidos contra bancos como para espiar a agencias gubernamentales, como fue el caso con el troyano Zeus.

Los troyanos para Android desaparecen más lentamente que para las PC, sin embargo, en cualquier caso, la cantidad de nuevos es varias veces menos que obsoleta. Los nuevos programas evolucionan desde la intercepción de SMS hasta la transferencia automática de fondos a través de aplicaciones móviles bancarias: autocompletar.
El número de troyanos activos continuará disminuyendo debido a la introducción de defensas y una fuerte reducción de los beneficios económicos para los atacantes.

La evolución de la ingeniería social sin código malicioso.

En el contexto de la caída de los troyanos, la amenaza de la ingeniería social sin el uso de código malicioso está creciendo. Los atacantes continúan usando cuentas falsas en las redes sociales, realizan llamadas desde números confiables usando scripts bien diseñados y compran por confiabilidad
base de datos de pasaportes, etc. Los métodos relativamente nuevos de ingeniería social incluyen el control del teléfono con la ayuda de programas de acceso remoto que las víctimas instalan en sus dispositivos bajo la guía de los estafadores telefónicos.

Crecimiento del mercado de Carding a través de JS Sniffer

Con una caída en los retornos financieros por el uso de troyanos bancarios para PC y Android, los atacantes comenzaron a usar una forma más efectiva de ganar dinero: JS-sniffers. Ya, su número excede el número de troyanos, y el número total de cartas comprometidas con su ayuda aumentó en un 38%. JS sniffers se convertirá en la amenaza de desarrollo más dinámico, especialmente para países donde 3D Secure no es común.

Nuevos ataques contra compañías de seguros, consultoría y construcción.

En 2019, los especialistas del Grupo IB registraron ataques de un nuevo grupo llamado RedCurl. Los objetivos principales del grupo son el espionaje y la ganancia financiera. Después de descargar documentación importante, los atacantes instalan mineros en la infraestructura de una empresa comprometida.
La peculiaridad de este grupo es la muy alta calidad de los ataques de phishing: para cada compañía, los atacantes crean una carta separada. RedCurl utiliza un troyano exclusivo que se comunica con el servidor de administración a través de servicios legítimos, lo que hace que sea muy difícil detectar actividad maliciosa.
en infraestructura.

Durante más de 16 años, los expertos del Grupo IB han estado investigando incidentes cibernéticos mediante el análisis de las herramientas y la infraestructura de los atacantes. Cada nuevo ataque cibernético dirigido
a una empresa, partido político o instalación de infraestructura crítica, nos da la oportunidad de ver la evolución de tácticas y herramientas para su implementación. Estamos profundamente convencidos de que las organizaciones públicas y los actores privados que luchan contra el cibercrimen deben compartir datos y publicar
su investigación

Gracias al uso de herramientas únicas para monitorear la infraestructura de los ciberdelincuentes, así como un estudio exhaustivo de la investigación de otros equipos de ciberseguridad en diferentes países, encontramos y confirmamos patrones comunes que forman una imagen integral del desarrollo de las ciberamenazas. Sobre esta base, formulamos pronósticos que se hacen realidad todos los años durante la vigencia del informe.

Descargue el informe completo Hi-Tech Crime Trends 2019/2020 aquí .