Las amenazas persistentes avanzadas, que se centran en los objetivos del ciberespionaje, son una amenaza constante para las empresas, los gobiernos y los activistas por la libertad, por nombrar algunos. Esta actividad sigue creciendo y evolucionando a medida que más actores de amenazas aumentan sus habilidades.
Kaspersky publicó sus predicciones de amenazas avanzadas para 2022 y compartió pensamientos interesantes sobre el panorama del próximo año. Aquí hay ocho amenazas avanzadas que Kaspersky predice que ocurrirán el próximo año.
Afluencia de nuevos agentes de APT
Los casos legales recientes contra empresas de seguridad ofensivas como NSO llevaron el uso de software de vigilancia bajo el foco de atención. NSO, una empresa israelí que brinda servicios que incluyen seguridad ofensiva, está siendo acusada de proporcionar a los gobiernos software espía que finalmente se volvió contra periodistas y activistas.
Luego de esa acción, el Departamento de Comercio de EE. UU. Informó en un comunicado de prensa que agregó a NSO a su lista de entidades por participar en actividades que son contrarias a la seguridad nacional o los intereses de la política exterior de los Estados Unidos. El departamento agregó otras tres empresas a esa lista: Candiru (Israel), Positive Technologies (Rusia) y Computer Security Initiative Consultancy PTE LTD (Singapur).
El mercado de exploits de día cero sigue creciendo, mientras que cada vez más proveedores de software comienzan a vender capacidades ofensivas. Todo este negocio es muy rentable y solo puede atraer a más jugadores al juego, al menos hasta que los gobiernos tomen medidas para regular su uso.
Kaspersky dijo que «los proveedores de malware y la industria de la seguridad ofensiva tendrán como objetivo apoyar a los jugadores antiguos pero también a los nuevos en sus operaciones».
Segmentación por dispositivos móviles
El tema de comprometer los dispositivos móviles no es nuevo, pero sigue siendo muy delicado. Kaspersky subrayó una diferencia importante entre los dos principales sistemas operativos de los teléfonos móviles: Android e iOS. Android permite más fácilmente la instalación de aplicaciones de terceros, lo que da como resultado un entorno de malware más orientado a los ciberdelincuentes, mientras que iOS es principalmente el objetivo del ciberespionaje avanzado patrocinado por el estado nacional. El caso Pegasus revelado por Amnistía Internacional en 2021 trajo una nueva dimensión a los ataques de día cero y cero clic de iOS.
La infección de malware es más difícil de prevenir y detectar en dispositivos móviles, mientras que los datos que contiene a menudo son una mezcla de datos personales y profesionales que nunca abandonan a su propietario. IT lo convierte en un objetivo perfecto para un atacante APT.
Kaspersky concluyó: «En 2022, veremos ataques más sofisticados contra dispositivos móviles expuestos y cerrados, acompañados de la inevitable negación de los perpetradores».
Más ataques a la cadena de suministro
Este año, el grupo de ransomware REvil / Sodinokibi apuntó a los proveedores de servicios gestionados. Este tipo de ataque es devastador porque permite a un atacante, una vez que compromete con éxito al proveedor, rebotar y comprometer fácilmente a un mayor número de empresas al mismo tiempo.
«Los ataques a la cadena de suministro serán una tendencia creciente en 2022 y más allá», dijo Kaspersky.
Trabajar desde casa crea oportunidades de ataque
El trabajo desde casa es necesario para muchos empleados y todavía lo será en el futuro previsible, debido a las reglas de bloqueo por pandemia. Esto crea oportunidades para que los atacantes comprometan las redes corporativas. Los ataques de fuerza bruta y de ingeniería social se pueden utilizar para obtener credenciales para los servicios corporativos. Y el uso de equipos personales en el hogar, en lugar de utilizar dispositivos protegidos por los equipos de TI corporativos, facilita las cosas a los atacantes.
Los actores de amenazas analizarán las nuevas oportunidades para explotar las computadoras domésticas que no están completamente parcheadas o protegidas para ganar un punto de apoyo inicial en las redes corporativas.
Geopolítica: aumento de ataques APT en la región META
Las crecientes tensiones geopolíticas en Oriente Medio y Turquía, y el hecho de que África se ha convertido en la región de urbanización más rápida y atrae grandes inversiones, son factores muy probables que aumentarán el número de grandes ataques APT en la región META, especialmente en África.
Seguridad en la nube y servicios subcontratados en riesgo
La seguridad en la nube ofrece muchas ventajas para las empresas de todo el mundo, sin embargo, el acceso a este tipo de infraestructura generalmente se encuentra en una sola contraseña o clave API. Además, los servicios subcontratados como el manejo de documentos en línea o el almacenamiento de archivos contienen datos que pueden ser muy interesantes para un actor de amenazas APT.
Kaspersky dijo que esos «atraerán la atención de los actores estatales y emergerán como objetivos principales en ataques sofisticados».
Volver a los bootkits
Los atacantes a menudo han rechazado los bootkits de bajo nivel porque existe un mayor riesgo de causar fallas en el sistema. Además, se necesita mucha más energía y habilidades para crearlos. La investigación ofensiva sobre bootkits está viva y coleando, y se esperan implantes más avanzados de este tipo. Además, con el arranque seguro cada vez más frecuente, «los atacantes necesitarán encontrar exploits o vulnerabilidades en este mecanismo de seguridad para evitarlo y seguir implementando sus herramientas», dijo Kaspersky.
Aclaración de las prácticas aceptables de delitos cibernéticos
En 2021, la guerra cibernética hizo que las acusaciones legales se usaran más como parte del arsenal en las operaciones del adversario.
Sin embargo, los estados que denuncian las operaciones de APT a menudo realizan las suyas propias al mismo tiempo. Aquellos deberán «crear una distinción entre los ciberataques que son aceptables y los que no lo son». Kaspersky cree que algunos países publicarán su taxonomía de delitos cibernéticos en 2022, detallando qué tipos de vectores de ataque y comportamiento están prohibidos.