El jueves 24 de febrero de 2022 Rusia dio comienzo a la guerra contra Ucrania mediante una operación militar que tiene como objetivo la desmilitarización del país europeo. Este escenario a su vez ha propiciado el incremento de ciberataques hacia organismos de gobierno, infraestructuras críticas, así como de otras industrias internacionales que pueden verse afectadas por una oleada de acciones contra sus activos empresariales.
En este sentido, por parte del equipo de Threat Intelligence de Nordstern Cibersegurity Services (NCS) se han identificado las siguientes amenazas que podrían afectar bajo este contexto de tensión internacional:
Grupos APT (Amenazas Persistentes avanzadas)
de origen rusocaracterizados por contar con herramientas de hacking altamente actualizadas y que cuentan con un nivel de complejidad técnica muy alta. Estos grupos llevan a cabo sus acciones mediante campañas de phishing y spear phishing, desarrollan malware especializado, se apoyan en técnicas de movimiento lateral y utilizan servidores especializados de comando y control, entre otros procedimientos de ataque.
Vulnerabilidades:
CISA ha destacado la explotación de vulnerabilidades por parte de las APTs como: CVE-2018-13379 (Fortigate VPNs), CVE-2019-1653 (Cisco Router), CVE-2019-11510 (Pulse Secure), CVE- 2020-0688 (Microsoft Exchange), CVE-2021-26855 (Microsoft Exchange), entre otras. Asimismo, se ha detectado la utilización de exploits relacionados con Log4Shell en Apache Log4j.
Ransomware:
la probabilidad de que se produzcan ciberataques a través de la distribución de ransomware es elevada, en concreto se destaca COMTI y Hermetic Wiper como amenazas más predominantes en la zona.
Desinformación o fake news:
bajo escenarios de alto interés internacional, se propicia la emisión masiva de actividades de desinformación que ponen en riesgo a la ciudadanía, así como a las empresas que pueden sufrir la manipulación de los datos que se estén exponiendo públicamente. Su objetivo se centra en afectar a la opinión externa e impactar sobre la reputación corporativa y de los gobiernos.
Recomendaciones
Con todo ello y, ante la complejidad de la situación internacional actual y a corto y medio plazo, se presenta un conjunto de recomendaciones cuya pretensión radica en prevenir en la medida de lo posible la afectación de los activos de las empresas que, con presencia en Europa, puedan verse afectadas por los ciberataques presentados:
- Realizar consultoría de la infraestructura de seguridad para determinar que las herramientas se encuentran correctamente configuradas y operativizadas.
- Habilitar el doble factor de autenticación en cualquier acceso remoto a la red de la organización y acceso privilegiado o administrado.
- Deshabilitar los puertos y protocolos que no sean necesarios para la actividad empresarial.
- No habilitar macros de adjuntos de Microsoft Office.
- Disponer de una política de aplicación de parches de vulnerabilidades que impida la afectación por la explotación de las mismas.
- Reforzar las actividades de concientización entre la totalidad de los empleados.
- Contar con listas de indicadores de compromiso (IOCs) que permitan disponer de flujos de información automatizados hacia los SIEM.
Si quieres conocer el reporte completo de nuestra Unidad de Ciberinteligencia descárgalo dando clic en el siguiente enlace:
Este reporte forma parte de la entrega de servicios que Nordstern NCS ofrece dentro de su portafolio de Ciberseguridad. Si deseas saber más sobre el informe da clic en el siguiente enlace.
