Llegamos a ustedes gracias a:



Alertas de Seguridad

Una nueva alerta de los Five Eyes

Advierte de las amenazas rusas contra las infraestructuras críticas

[22/04/2022] En un movimiento demostrativo de la cooperación y la asociación internacionales, Five Eyes (Estados Unidos, Australia, Canadá, Nueva Zelanda y Reino Unido) emitieron una alerta que ofrece una "visión general de las amenazas rusas patrocinadas por el Estado y los ciberdelincuentes a las infraestructuras críticas". La alerta también incluye una guía de corrección, que los CISOs encontrarán de particular importancia.

La alerta AA22-110A - Amenazas cibernéticas rusas patrocinadas por el Estado y criminales a las infraestructuras críticas, proporciona detalles sobre las operaciones cibernéticas atribuibles a los actores estatales rusos, incluyendo el Servicio Federal de Seguridad de Rusia (FSB), el Servicio de Inteligencia Exterior de Rusia (SVR), la Dirección Principal de Inteligencia del Estado Mayor de Rusia (GRU), y el Instituto Científico Central de Química y Mecánica del Ministerio de Defensa de Rusia (TsNIIKhM). También identifica a las organizaciones de ciberdelincuentes, incluidas algunas que han expresado su lealtad a la Federación Rusa, que se han comprometido a llevar a cabo ciberoperaciones contra las entidades que prestan apoyo a Ucrania. Por lo tanto, la posición de su empresa respecto a la invasión de Ucrania por parte de Rusia puede colocarla en el punto de mira de los agentes estatales rusos o de sus compinches ciberdelincuentes.

Necesidad de invertir en ciberseguridad

No se puede exagerar la necesidad de invertir en ciberseguridad. "Las amenazas a las infraestructuras críticas siguen siendo muy reales", comentó Rob Joyce, director de Ciberseguridad de la NSA. "La situación de Rusia significa que hay que invertir y tomar medidas".

Las cuatro áreas de preocupación inmediata que los equipos de infoseguridad deberían abordar no serán ajenas a ninguna entidad con un mínimo de perspicacia en materia de ciberseguridad:

  • Dar prioridad a la aplicación de parches a las vulnerabilidades conocidas explotadas
  • Aplicar la autenticación multifactorial
  • Supervisar el protocolo de escritorio remoto (RDP)
  • Concienciar y formar a los usuarios finales.

El hecho de que la alerta comience con estos cuatro puntos, que muchos considerarían

"Ciberseguridad 101", sugiere que muchas entidades carecen de dicha perspicacia.

Los CISOs se beneficiarán de la profundidad de este informe, que claramente adopta el axioma "el conocimiento es poder", ya que los comentarios multinacionales y las declaraciones de atribución proporcionan claridad adicional a una serie de incidentes históricos de ciberseguridad.

Los actores de la ciberamenaza rusa

La alerta entra en gran detalle en los diversos actores de la amenaza, una breve sinopsis de estos a continuación:

  • FSB: Estados Unidos y el Reino Unido han atribuido que Berserk Bear está asociado al Centro 16 del FSB o a la Unidad 71330 del GRU, y que los objetivos son "sistemas e infraestructuras informáticas críticas en Europa, América y Asia".
  • SVR: S., Canadá y el Reino Unido han atribuido que el compromiso de SolarWinds Orion ha sido realizado por el SVR. Un grupo de amenazas persistentes avanzadas (APT) del SVR ha estado atacando infraestructuras críticas desde al menos el 2008.
  • GRU: Varias unidades del GRU han sido identificadas previamente como potenciales actores de ciberamenazas. Esta alerta destaca dos de esas unidades, la Unidad 26165 y la Unidad 74455.
    • La Unidad 26165 es un grupo APT cuyos objetivos son principalmente "organizaciones gubernamentales, entidades de viajes y hostelería, instituciones de investigación y organizaciones no gubernamentales, además de otras organizaciones de infraestructuras críticas". Además, se atribuye que el malware Drovorub utilizado en la realización de actividades de ciberespionaje tiene su origen en la GRU.
    • La Unidad 74455 es también un grupo APT asociado principalmente a actividades de ciberespionaje, con un enfoque particular en las infraestructuras críticas dentro de los sectores de la energía, el transporte y los servicios financieros. La notoriedad de la Unidad 74455 proviene de sus efectivas acciones cibernéticas destructivas: ataques DDOS y de malware wiper. Múltiples gobiernos han atribuido a este grupo APT haber sido instrumental en el ataque a la red eléctrica ucraniana de 2016 y en el ataque de 2019 contra entidades georgianas.
  • TsNIIKhM: Esta entidad forma parte del brazo de I+D del Ministerio de Defensa ruso. Son expertos en la creación de malware ICS destructivo. Los ataques contra entidades energéticas estadounidenses en el 2021 hicieron que esta entidad fuera sancionada y que un empleado fuera acusado por el Departamento de Energía.
  • Primitive Bear y Venomous Bear: Han sido identificados como dos grupos APT patrocinados por el Estado por la industria. La alerta subraya que Five Eyes no hn atribuido todavía a estas dos entidades su asociación con el gobierno ruso. Sin embargo, los grupos tienen como objetivo entidades gubernamentales occidentales, incluyendo entidades gubernamentales ucranianas, gobiernos alineados con la OTAN, contratistas de defensa y otros considerados de valor de inteligencia.

Además, se han destacado grupos de ciberdelincuentes rusos y se han catalogado sus esfuerzos en la alerta. Entre ellos se encuentran The CoomingProject, Killnet, Mummy Spider, Salty Spider, Scully Spider, Smokey Spider, Wizard Spider y The Xaknet Team.

Informar de incidentes y actividades cibernéticas inusuales

La alerta pide a las organizaciones que informen de incidentes y actividades cibernéticas inusuales a sus respectivas autoridades gubernamentales de ciberseguridad y proporciona información de contacto para la CISA.

El director de la CISA, Jen Easterly, subrayó: "Sabemos que la ciberactividad maliciosa forma parte del libro de jugadas ruso. También sabemos que el gobierno ruso está explorando opciones para potenciales ciberataques contra la infraestructura crítica de Estados Unidos". El aviso de ciberseguridad publicado hoy conjuntamente por CISA y nuestros socios interinstitucionales e internacionales refuerza la amenaza y la capacidad demostrada de los grupos cibercriminales rusos patrocinados por el Estado y alineados con Rusia para nuestro país".

Easterly instó a todas las organizaciones a revisar las orientaciones en el aviso y en el sitio web Shields Up de CISA, que se actualiza regularmente.