La agitación política de 2022 ha provocado un cambio que se verá reflejado en la ciberseguridad durante los próximos años y tendrá un efecto directo en el desarrollo de futuros ataques sofisticados. La previsión para 2023 se basa en la experiencia y las actividades que el Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha presenciado este año mientras rastreaba más de 900 grupos y campañas de APT.
Índice de temas
El próximo WannaCry y los drones para el hackeo de proximidad
Estadísticamente, algunas de las mayores y más impactantes ciberepidemias se producen cada seis o siete años. El último incidente de este tipo fue el famoso ransomware WannaCry, que aprovechó la poderosa vulnerabilidad EternalBlue para propagarse automáticamente a las unidades vulnerables. Los analistas de Kaspersky creen que la probabilidad de que el próximo WannaCry ocurra en 2023 es alta. Una de las posibles razones para que se produzca un evento de este tipo es que los actores de amenazas más sofisticados del mundo suelen poseer al menos un exploit adecuado, y las actuales tensiones mundiales aumentan en gran medida la posibilidad de que se produzca un hack-and-leak al estilo de ShadowBrokers.
Los principales cambios quedarán reflejados también en los nuevos tipos de objetivo y escenarios de ataque. Los expertos creen que el próximo año podremos ver atacantes y especialistas expertos en mezclar intrusiones físicas y cibernéticas, empleando drones para el hackeo de proximidad. Entre los posibles escenarios de ataque se incluye el montaje de drones con herramientas que permitan la recopilación de handshakes WPA utilizados para el crackeo offline de contraseñas WiFi o incluso el lanzamiento de llaves USB maliciosas en áreas restringidas con la esperanza de que un transeúnte las recoja y las conecte a un ordenador.
Otras predicciones de amenazas avanzadas para 2023 son:
- Malware entregado por SIGINT. Uno de los vectores de ataque más potentes, que utiliza servidores en posiciones clave de la red troncal de Internet y que permiten los ataques “man-on-the-server”, podría volver con más fuerza el próximo año. Aunque estos ataques son extremadamente difíciles de detectar, los analistas de Kaspersky creen que se generalizarán y darán lugar a más descubrimientos.
- Aumento de los ataques destructivos. Dado el actual clima político, los expertos de Kaspersky prevén un número récord de ciberataques perjudiciales y destructivos, que afectarán tanto al sector gubernamental como a industrias clave. Probablemente, una parte de ellos no se podrá rastrear claramente como ciberincidentes y parecerán accidentes aleatorios. El resto adoptará la forma de ataques de pseudo-ransomware u operativos de hacktivismo para proporcionar una coartada convincente a sus verdaderos autores. Los ciberataques de alto perfil contra la infraestructura civil, como las redes de energía o la radiodifusión pública, también pueden convertirse en objetivos, así como los cables submarinos y los centros de distribución de fibra, que son difíciles de defender.
- Los servidores de correo se convierten en objetivos prioritarios. Los servidores de correo albergan información clave, por lo que son de interés para los actores de APT y tienen la mayor superficie de ataque posible. Los líderes del mercado de este tipo de software ya se han enfrentado a la explotación de vulnerabilidades críticas, y 2023 será el año de los 0days para los principales programas de correo electrónico.
- Los objetivos de las APT se dirigen a las tecnologías, los productores y los operadores de satélites. Con las competencias existentes, las pruebas de que las APT son capaces de atacar satélites -con el incidente de Viasat como ejemplo- hacen probable que los autores de amenazas APT dirijan cada vez más su atención a la manipulación e interferencia de las tecnologías satelitales en el futuro, lo que hace que la seguridad de estas tecnologías sea cada vez más importante.
- El hackeo y filtración es el nuevo “black”. La nueva forma de enfrentamiento híbrido que se desató en 2022 implicó un gran número de operaciones de hackeo y filtración. Éstas persistirán en el próximo año con actores APT que filtrarán datos sobre grupos de amenazas competidores o difundirán información.
- Más grupos de APT pasarán de CobaltStrike a otras alternativas. CobaltStrike, una herramienta de red-teaming, se ha convertido en una herramienta de elección para los actores de APT y grupos de ciberdelincuentes por igual. Al ganar tanta atención por parte de los defensores, es probable que los atacantes cambien a nuevas alternativas como Brute Ratel C4, Silver, Manjusaka o Ninja, todas ellas ofreciendo nuevas capacidades y técnicas de evasión más avanzadas.