El año que acabamos de cerrar ha sido estremecedor desde varios puntos de vista. La economía mundial ha experimentado altibajos constantes. Cuando parecía que Covid dejaba de ser un gran problema, llegó el aumento de la factura de la luz, la inflación desbocada y la consiguiente crisis del coste de la vida, en parte impulsada por la invasión rusa de Ucrania. En última instancia, estos acontecimientos han abierto la puerta a nuevas oportunidades para los ciberdelincuentes, que han tratado de explotar estos conflictos para su propio beneficio.
Han atacado a gobiernos, hospitales, empresas relacionadas con las criptomonedas y muchas otras organizaciones. El coste de una filtración de datos asciende actualmente a casi 4,4 millones de dólares, y mientras los ciberdelincuentes sigan cosechando éxitos como los que se van a indicar a continuación, podemos creer que esta tendencia en 2023 seguirá creciendo.
ESET destaca los 10 ciberataques más importantes que han tenido lugar durante el año que acabamos de cerrar:
- Ucrania bajo (ciber)ataque: La infraestructura crítica de Ucrania se ha encontrado una vez más, en el punto de mira de los ciberdelincuentes. A principios de la invasión rusa, los investigadores de ESET trabajaron de forma estrecha con el CERT-UA para solucionar un ataque dirigido a la red eléctrica del país y que involucraba malware destructivo que el grupo Sandworm había intentado desplegar contra subestaciones eléctricas de alto voltaje. El malware – que ESET denominó Industroyer 2 – se utilizó en combinación con una nueva versión de la variante del malware destructivo CaddyWiper, muy probablemente para ocultar las huellas del grupo de delincuentes, ralentizar la respuesta a incidentes y evitar que los operadores de la empresa de energía recuperaran el control.
- HermeticWiper e IsaacWiper: CaddyWiper no fue, ni mucho menos, el único malware destructivo descubierto en Ucrania justo antes o durante las primeras semanas de la invasión rusa. El 23 de febrero, la telemetría de ESET detectó HermeticWiper en cientos de dispositivos de varias organizaciones en Ucrania. Al día siguiente, comenzó un segundo ataque destructivo de borrado de datos contra una red gubernamental ucraniana, esta vez con IsaacWiper.
- Internet fuera de servicio en Ucrania: Apenas una hora antes de la invasión, un importante ciberataque contra la empresa comercial de Internet por satélite, Viasat, interrumpió el servicio de Internet de banda ancha para miles de personas en Ucrania e incluso en otros puntos de Europa. Se cree que el ataque, que aprovechó un dispositivo VPN mal configurado para acceder a la sección de gestión de la red de satélites, pretendía mermar las capacidades de comunicación del mando ucraniano durante las primeras horas de la invasión. Sin embargo, sus efectos se dejaron sentir mucho más allá de las fronteras de Ucrania.
- Conti en Costa Rica: Uno de los principales actores de la ciberdelincuencia clandestina este año ha sido el grupo de ransomware como servicio (RaaS) Conti. Una de sus incursiones más peligrosas fue contra la pequeña nación sudamericana de Costa Rica, donde se declaró una emergencia nacional después de que el gobierno calificara un ataque paralizante como un acto de “ciberterrorismo”. Desde entonces, el grupo ha desaparecido, aunque es probable que sus miembros se hayan dedicado a otros proyectos o hayan cambiado de marca, ya que los grupos de ransomware como servicio (RaaS por sus siglas en inglés) suelen evitar la vigilancia de las fuerzas de seguridad y los gobiernos.
- Distintos ransomware dirigidos a Estados Unidos: Durante el año 2022 también han actuado otros actores de ransomware. Una alerta de CISA de septiembre exponía que diferentes ciberdelincuentes vinculados al régimen de Irán habían logrado comprometer a un gobierno municipal estadounidense y a una empresa del sector aeroespacial, entre otros objetivos, aprovechando la vulnerabilidad Log4Shell para campañas de ransomware, lo que no es muy habitual en entidades respaldadas por el Estado. También tuvo lugar otro ataque, en esta ocasión al gobierno de Estados Unidos. Una organización no identificada del Poder Ejecutivo Civil Federal (FCEB) sufrió una brecha de seguridad y se desplegó malware de minería de criptomonedas.
- El millonario robo a Axie Infinity: Ronin Network fue creada por el desarrollador vietnamita de juegos de blockchain Sky Mavis para funcionar como una cadena lateral de Ethereum para su juego Axie Infinity. En marzo de 2022 se supo que unos ciberdelincuentes habían conseguido utilizar claves privadas robadas para falsificar retiradas por valor de 173.600 Ethereum (592 millones de dólares) y 25,5 millones de dólares del bridge Ronin en dos transacciones. El robo resultante de 618 millones de dólares, a precios de marzo, fue el mayor de la historia en lo que respecta al mundo de las criptomonedas. Desde entonces se ha vinculado al grupo norcoreano Lazarus con este hecho.
- Lapsus$ ataca a grandes empresas: Este grupo entró en escena en 2022 como un grupo de extorsión que utilizaba robos de datos de alto perfil para forzar el pago por parte de sus víctimas. Entre ellas se encuentran Microsoft, Samsung, Nvidia, Ubisoft, Okta y Vodafone. Entre sus muchos métodos se encuentra el soborno de personal interno de las empresas y de sus responsablesl Aunque el grupo había permanecido relativamente en silencio durante un tiempo, resurgió a finales de año tras piratear Rockstar Games, desarrolladora de Grand Theft Auto. Varios presuntos miembros del grupo han sido detenidos en Reino Unido y Brasil.
- Ataque a la Cruz Roja Internacional (CICR): En enero, la Cruz Roja Internacional informó de una importante filtración que puso en peligro los datos personales de más de 500.000 víctimas “muy vulnerables”. Robados a un contratista suizo, los datos incluían detalles de personas separadas de sus familias debido a conflictos, migraciones y desastres, personas desaparecidas y sus familias, y personas detenidas. Posteriormente se atribuyó la autoría del ataque a un Estado no identificado y se produjo al aprovecharse de un sistema sin parches.
- Ataque a Uber: el gigante de los servicios de transporte por carretera sufrió una importante brecha en 2016, cuando se robaron datos de 57 millones de usuarios. En septiembre de 2022 se informó de que un ciberdelincuente, posiblemente un miembro de Lapsus$, había comprometido sistemas de correo electrónico en la nube, repositorios de código, una cuenta interna de Slack y entradas de HackerOne. El objetivo era un contratista externo de Uber, que probablemente obtuvo su contraseña corporativa en la dark web.
- Ataque a Medibank: Durante este 2022, un ransomware logró acceder a los datos personales de los cuatro millones de clientes del gigante australiano de los seguros de salud, en un ataque que puede acabar costando a la empresa unos 35 millones de dólares. Se cree que los responsables del ataque están vinculados al ransomware como servicio (RaaS) REvil con credenciales privilegiadas comprometidas responsables del acceso inicial. Los afectados se enfrentan ahora a un posible aluvión de intentos de suplantación de identidad.