China ataca la infraestructura de EE. UU.: Cómo mitigar el ataque del actor Volt Typhoon

La advertencia de Microsoft el miércoles, de que el actor patrocinado por China, Volt Typhoon, atacó la infraestructura de los Estados Unidos, puso un fuerte énfasis en las presentaciones de expertos en ciberseguridad y asuntos internacionales que indican que una guerra global en el ciberespacio está enfrentando a regímenes autoritarios contra democracias.

Índice de Contenido
  1. El compromiso de China con la ciberguerra
  2. La profesionalización del cibercrimen reduce la barrera de entrada
  3. Cómo mitigar Volt Typhoon

El compromiso de China con la ciberguerra

China ataca la infraestructura de EE. UU.: Cómo mitigar el ataque del actor Volt Typhoon - Seguridad | Imagen 1 Newsmatic

La notificación de Microsoft señaló que Volt Typhoon, que afectó a organizaciones en sectores como TI, comunicaciones, manufactura, servicios públicos, transporte, construcción, marítimo, gobierno y educación, ha estado persiguiendo una estrategia de "vivir de la tierra" centrada en la extracción de datos desde 2021. Esta táctica generalmente utiliza explotaciones de ingeniería social como el phishing para acceder a redes invisiblemente a través de software legítimo. Utiliza un exploit de Fortinet para obtener acceso y utiliza cuentas válidas para persistir (Figura A).

Figura A

China ataca la infraestructura de EE. UU.: Cómo mitigar el ataque del actor Volt Typhoon - Seguridad | Imagen 2 Newsmatic

Nadir Izrael, el director de tecnología y cofundador de la empresa de seguridad Armis, señaló que el presupuesto de defensa de China ha estado aumentando a lo largo de los años, alcanzando un estimado de $178 mil millones en 2020. "Esta creciente inversión ha permitido a China desarrollar sus capacidades cibernéticas, con más de 50.000 ciber-soldados y una unidad avanzada de ciberguerra", dijo él.

Agregó que la inversión de China en capacidades cibernéticas ofensivas ha creado "un arma global en su arsenal para perturbar infraestructura crítica en casi todos los sectores, desde las comunicaciones hasta el marítimo, e interrumpir la vida de los ciudadanos estadounidenses". Dijo: "La ciberguerra es una herramienta increíblemente impactante y rentable para que China desestabilice el orden mundial".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Según Armis, ha estado pronosticando estas amenazas desde enero después de descubrir que el 33% de las organizaciones globales no están tomando en serio la amenaza de la ciberguerra. Ha estado instando a los gobiernos y empresas de todos los sectores a comenzar a implementar procedimientos para contrarrestar estas amenazas.

"A medida que el mundo se digitaliza cada vez más, la ciberguerra es la guerra moderna", dijo Armis. "Esto debe ser una llamada de atención para los Estados Unidos y las naciones occidentales".

En la conferencia WithSecure Sphere23 en Helsinki, Finlandia, antes de que se difundieran las noticias de seguridad, Jessica Berlin, una analista de política exterior con sede en Alemania y fundadora de la consultora CoStruct, dijo que Estados Unidos, la Unión Europea y otras democracias no se han dado cuenta de las implicaciones de la ciberguerra llevada a cabo por Rusia, China y Corea del Norte. Dijo que estos países están involucrados en una guerra cibernética, una en la que las autocracias tienen la ventaja porque la han reconocido y aceptado completamente y se han comprometido a librarla como tal.

Ella le dijo a Newsmatic que las compañías de tecnología y seguridad podrían desempeñar un papel clave en despertar a los ciudadanos y gobiernos a este hecho al ser más transparentes acerca de los ataques. También señaló el Reglamento General de Protección de Datos de la Unión Europea, que ha estado en vigor durante cinco años y ha sido una poderosa herramienta de supervisión de la información digital, la procedencia de los datos y la desinformación en las plataformas sociales.

La profesionalización del cibercrimen reduce la barrera de entrada

Stephen Robinson, analista senior de inteligencia de amenazas en WithSecure, dijo que el hecho de que el ecosistema de cibercriminales imite los negocios legítimos ha facilitado a los actores estatales y a los grupos menos sofisticados la compra de lo que no pueden crear. Esta profesionalización del cibercrimen ha creado un sector de servicios formales. "Están contratando a subcontratistas, proveedores de servicios criminales han surgido y su existencia está industrializando la explotación", dijo Robinson.

El éxito del modelo de servicio delictivo se acelera gracias a herramientas como la transferencia de datos anónima de Tor y las criptomonedas, señaló Robinson, quien delimitó algunos servicios verticales en la web oscura.

Cómo proteger tu computadora de los virus: métodos y consejos
  • Agentes de acceso inicial: Estos agentes son clave porque prosperan en el modelo orientado a los servicios y son habilitadores. Utilizan cualquier método que puedan para obtener acceso y luego ofrecen ese acceso.
  • Criptador como servicio: El criptador es una herramienta para ocultar una carga útil de malware. Y esto, dijo Robinson, ha llevado a una carrera armamentista entre el malware y el antimalware.
  • Secuestradores de criptomonedas: Estos actores ingresan a una red y dejan software y a menudo son los primeros en aprovechar una vulnerabilidad del servidor. Constituyen una amenaza baja, pero son un indicador muy fuerte de que algo ha sucedido o sucederá, según Robinson.
  • Malware como servicio: Altamente técnico y con servicios avanzados como soporte y contratos y acceso a productos premium.
  • Actores estatales: Los actores estatales utilizan las herramientas mencionadas anteriormente, lo que les permite lanzar campañas y acceder a nuevas víctimas sin ser atribuidos.

WithSecure tiene un informe reciente sobre grupos de ransomware de extorsión de puntos múltiples que emplean varias estrategias de extorsión, incluyendo el cifrado, para presionar a las víctimas a realizar pagos.

El análisis de la empresa de más de 3.000 filtraciones de datos por parte de estos grupos mostró que las organizaciones en los Estados Unidos fueron las víctimas más buscadas, seguidas por Canadá, el Reino Unido, Alemania, Francia y Australia.

Además, la investigación de la empresa mostró que la industria de la construcción representaba el 19% de las filtraciones de datos, mientras que la industria automotriz representaba solo el 6% de los ataques.

"En busca de una mayor parte de los enormes ingresos de la industria del ransomware, los grupos de ransomware adquieren capacidades de proveedores especializados en delitos electrónicos de la misma manera que las empresas legítimas subcontratan funciones para aumentar sus ganancias", dijo Robinson. "Este suministro permanente de capacidades e información está siendo aprovechado por cada vez más actores de amenazas cibernéticas, desde operadores solitarios de baja habilidad hasta APT de estados nación. El ransomware no creó la industria del cibercrimen, pero realmente ha avivado el fuego".

La empresa ofreció un ejemplo que se asemeja al saqueo masivo de una tienda departamental después de que la puerta quedara entreabierta. Una organización fue víctima de cinco actores de amenazas, cada uno con objetivos diferentes y representando un tipo diferente de servicio de cibercrimen: el grupo de ransomware Monti, el malware-as-a-service Qakbot, la banda 8220 de criptominería, un agente de acceso inicial sin nombre y un subconjunto de Lazarus Group asociado con Corea del Norte.

En estos incidentes, WithSecure informó que se encontraron seis ejemplos distintos del modelo "como servicio" utilizado en las cadenas de ataque observadas (Figura B).

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Figura B

China ataca la infraestructura de EE. UU.: Cómo mitigar el ataque del actor Volt Typhoon - Seguridad | Imagen 3 Newsmatic

Según el informe, esta tendencia de profesionalización pone la experiencia y los recursos para atacar organizaciones al alcance de actores de amenazas con menos habilidades o recursos limitados. El informe predice que es probable que aumente el número de atacantes y el tamaño de la industria del cibercrimen en los próximos años.

Cómo mitigar Volt Typhoon

En el informe de Microsoft sobre Volt Typhoon, la compañía dijo que detectar una actividad que utiliza canales de inicio de sesión normales y archivos del sistema requiere monitoreo del comportamiento y la remediación requiere cerrar o cambiar las credenciales de las cuentas comprometidas. En estos casos, Microsoft sugiere que los equipos de operaciones de seguridad examinen la actividad de las cuentas comprometidas en busca de cualquier acción maliciosa o datos expuestos.

Para prevenir este tipo de ataques, Microsoft sugiere estos consejos:

  • Aplicar políticas de autenticación multifactor sólidas mediante el uso de claves de seguridad físicas, inicio de sesión sin contraseña y reglas de caducidad de contraseñas, y desactivar cuentas no utilizadas.
  • Activar reglas de reducción de superficie de ataque para bloquear o auditar actividades asociadas con esta amenaza.
  • Activar Protective Process Light para LSASS en dispositivos con Windows 11. Las nuevas instalaciones de Windows 11 (actualización 22H2) unidas a una empresa tienen esta función activada de forma predeterminada, según la compañía.
  • Activar Windows Defender Credential Guard, que está activado de forma predeterminada para las organizaciones que utilizan la edición Enterprise de Windows 11.
  • Activar la protección entregada por la nube en Microsoft Defender Antivirus.
  • Ejecutar la detección y respuesta en el endpoint en modo bloqueo para que Microsoft Defender for Endpoint pueda bloquear artefactos maliciosos.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a China ataca la infraestructura de EE. UU.: Cómo mitigar el ataque del actor Volt Typhoon , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.