Els ciberatacs

Un ciberatac es defineix com un intent deliberat d’accedir, danyar o comprometre les xarxes, els sistemes o les dades informàtiques d’una organització o d’invidius. Aquests atacs poden tenir diverses finalitats, com l’extracció d’informació confidencial, la interrupció de serveis crítics o l’alteració de la integritat de les dades. Els atacs s’executen mitjançant diverses fases, el que es coneix com a Cyber Kill Chain.

La Cyber Kill Chain és una metodologia que descriu les diverses fases seqüencials d’un ciberatac. Les diverses fases son:

1. Reconeixement: L’atacant recopila informació sobre el seu objectiu, investigant la tecnologia utilitzada, explorant dades a les xarxes socials i realitzant interaccions per correu electrònic per avaluar els possibles mètodes d’atac.
2. Preparació: Aquesta fase implica la preparació específica de l’atac, com la creació de documents maliciosos o correus electrònics fraudulents per enganyar les víctimes.
3. Distribució: L’atac es transmet, per exemple, mitjançant l’obertura de documents infectats en correus electrònics o a través de l’enginyeria social.
4. Explotació: És quan es produeix l’execució de l’atac, comprometent els sistemes infectats i la xarxa mitjançant l’aprofitament de vulnerabilitats conegudes.
5. Instal·lació. En aquesta fase, l’atacant pot instal·lar el malware o robar credencials. La formació en ciberseguretat i les mesures de seguretat són claus en aquest punt.
6. Comandament i control. L’atacant pren el control del sistema de la víctima i opera des d’un servidor central anomenat C&C (Command and Control), des d’on pot realitzar diverses accions malicioses.
7. Accions sobre els objectius. Aquesta és la fase final en què l’atacant busca obtenir dades i expandir les seves accions malicioses cap a més objectius. La Cyber Kill Chain pot repetir-se per infectar més víctimes.

Aquesta metodologia ajuda a comprendre com els atacants avancen pas a pas en un atac cibernètic i com les organitzacions poden prendre mesures per prevenir, detectar i respondre a aquestes amenaces en cada etapa de la cadena.

Els incidents de ciberseguretat se solen classificar segons el seu objectiu o impacte. En aquest apartat, esmentarem la classificació més comuna proposada per l’ENISA i els incidents més freqüents.

L’Agència Europea de Ciberseguretat (ENISA) recomana una taxonomia d’incidents que classifica els incidents de ciberseguretat en categories específiques, les principals son:

• Contingut Abusiu (Abusive Content). Aquesta categoria inclou incidents relacionats amb contingut digital que promou l’odi, la discriminació o la violència. Un exemple d’aquest tipus d’incident podria ser la difusió de contingut racista o d’intolerància a través de plataformes en línia.
• Codi Maliciós (Malicious Code). Aquesta classificació involucra incidents que impliquen l’ús de programari maliciós com virus, troians o altres programes que tenen la finalitat de damnificar o comprometre sistemes o dades. Un exemple podria ser un atac de ransomware que xifra les dades de l’usuari i demana un rescat per desxifrar-les.
• Recopilació d’Informació (Information Gathering). Aquesta categoria abasta incidents en què els atacants recopilen dades per a futurs atacs. Un exemple podria ser la recopilació de dades d’usuari mitjançant tècniques de web scraping.
• Temptatives d’Intrusió (Intrusion Attempts). Aquesta classificació inclou incidents en els quals els atacants intenten violar les mesures de seguretat sense aconseguir-ne l’èxit. Podria ser un intent d’accés no autoritzat sense èxit a la VPN d’una xarxa corporativa.
• Intrusions. En aquesta categoria, es tracten incidents on els atacants han aconseguit entrar i accedir il·legalment a sistemes o xarxes. Un exemple podria ser un atacant que aconsegueix accedir a un servidor web i modificar el contingut de les pàgines.
• Disponibilitat (Availability). Aquesta classificació cobreix incidents que tenen com a objectiu principal interrompre o negar l’accés als serveis o recursos informàtics. Un exemple podria ser un atac de denegació de servei (DDoS) que inunda un servidor amb tràfic maliciós per inutilitzar-lo.
• Seguretat del Contingut d’Informació (Information Content Security). Aquesta categoria tracta incidents que comprometen la confidencialitat o integritat de la informació. Podria ser un cas en què s’hagin filtrat dades confidencials d’una organització.
• Frau (Fraud). Aquesta classificació inclou incidents que involucren activitats fraudulentes com estafes o enganys. Un exemple podria ser una campanya de phishing destinada a obtenir dades bancàries d’usuaris.
• Vulnerabilitat (Vulnerable). En aquesta categoria es tracten incidents que revelen vulnerabilitats en els sistemes o les aplicacions. Un exemple podria ser la troballa i la notificació d’una vulnerabilitat de seguretat en un lloc web.
• Altres (Other). Aquesta categoria engloba altres tipus d’incidents que no entren en cap de les categories anteriors, però que encara són rellevants des del punt de vista de la ciberseguretat.

Per comprendre més a fons els incidents més freqüents en ciberseguretat, podem recórrer a l’informe The ENISA Threat Landscape (ETL) de l’Agència Europea de Ciberseguretat (ENISA). Aquest informe anual ens proporciona una visió completa de la situació del panorama de les amenaces de ciberseguretat.

L’informe identifica les amenaces principals, les tendències rellevants en relació amb les amenaces, els actors de les amenaces i les tècniques d’atac més destacades, així com les mesures de mitigació pertinents.

L’ENISA, en l’informe del 2022, va classificar les amenaces principals en 8 grups basant-se en la seva freqüència i impacte, i és notable com algunes d’aquestes amenaces continuen essent rellevants:

1. Ransomware: el 60% de les organitzacions afectades podrien haver pagat rescats.
2. Malware (‘programari maliciós’): en el 2021, s’han observat 66 divulgacions de vulnerabilitats zero-day.
3. Enginyeria social: el phishing encara és una tècnica popular, però estem veient sorgir noves formes de phishing com el spear-phishing, el whaling, l’smishing i el vishing.
4. Amenaces contra les dades: aquestes amenaces estan augmentant en proporció a la quantitat de dades produïdes.
5. Amenaces contra la disponibilitat: en el juliol de 2022, s’ha llançat el més gran atac de Denegació de Servei (DDoS) mai vist a Europa, amb conseqüències en la destrucció d’infraestructures, interrupcions i reencaminament del trànsit d’internet.
6. Desinformació i mala informació: s’ha observat un augment de la desinformació habilitada per la intel·ligència artificial, deepfakes i serveis de desinformació.
7. Atacs a la cadena de subministrament: el 17% de les intrusions el 2021 van ser causades per incidents de tercers, una xifra significativament major en comparació a l’1% de l’any anterior.

Les tendències principals observades a través de l’informe revelen canvis significatius en el panorama de les amenaces de ciberseguretat:

• Explotació de vulnerabilitats zero-day: els actors de les amenaces han adoptat nous recursos per assolir els seus objectius, incloent-hi l’ús d’exploits de vulnerabilitats zero-day.
• Onada de hacktivisme: després de la guerra entre Rússia i Ucraïna, s’ha observat una nova onada de hackitivisme.
• Augment de les DDoS: els atacs de Denegació de Servei (DDoS) són més grans i complexos, amb un moviment cap a les xarxes mòbils i Internet de les Coses (IoT) com instruments de la ciberguerra.
• Desinformació habilitada per IA i deepfakes: la proliferació de bots que modelen persones pot alterar fàcilment el procés de normativa de “notificació i comentari”, així com la interacció comunitària, inundant les agències governamentals amb continguts i comentaris falsos.

Aquestes tendències i amenaces principals il·lustren la complexitat en constant evolució de l’entorn de la ciberseguretat i la importància de les organitzacions i els professionals en ciberseguretat en estar al dia i adaptar-se a aquestes dinàmiques per protegir les seves infraestructures i dades.

L’entorn de la ciberseguretat ha experimentat un augment en l’impacte en els ciberatacs. L’Agència Europea de Ciberseguretat (ENISA) ha identificat aquesta tendència a través del seu informe anual, The ENISA Threat Landscape (ETL 2022), que cobreix el període des d’abril de 2021 fins a juliol de 2022. Durant aquest període, s’ha observat un augment en les amenaces i els atacs cibernètics.

Els ciberatacs continuen afectant un ampli espectre d’organitzacions. Es calcula que el 60% podria haver pagat rescats per desbloquejar els seus sistemes o xarxes. A més, s’ha detectat un increment en els costos que aquests atacs generen per a les organitzacions. Els cibercriminals, motivats per l’oportunitat d’aconseguir beneficis, estan invertint part dels seus guanys en millorar les seves eines i infraestructures. Això ha conduït a la professionalització del mercat de la ciberdelinqüència, i els atacants es tornen més sofisticats i organitzats.

Aquesta professionalització és un repte substancial per als equips de ciberseguretat, ja que els cibercriminals busquen de manera activa punts febles i vulnerabilitats per explotar. Com a resultat, les organitzacions han de reforçar les seves estratègies de ciberseguretat i estar preparades per fer front a atacs més elaborats. En aquest context, la ciberintel·ligència juga un paper essencial per a l’estudi i la caracterització dels atacants, proporcionant informació crítica per millorar la resposta a incidents i protegir les infraestructures.

Aquesta combinació de l’augment dels ciberatacs i la professionalització dels criminals subratlla la necessitat de mantenir-se a l’aguait i adaptar-se a les noves dinàmiques de la ciberseguretat per protegir les dades i les operacions crítiques de les organitzacions.

Els ciberatacs involucren una varietat d’actors, cada un amb les seves pròpies característiques i objectius. Alguns dels perfils que ens podem trobar son:

• Atacants de Ransomware: Són coneguts per xifrar les dades de les seves víctimes i demanar un rescat per a desxifrar-ho. Grups com Rhysida i BianLian han destacat en aquesta categoria. Aquestes organitzacions de cibercriminals busquen obtenir guanys financers ràpids de víctimes individuals i empreses.
• Ransomware As A Service (RaaS): És un model de negoci en què els desenvolupadors de ransomware ofereixen les eines, manuals i infraestructures com a servei als seus afiliats. Un exemple destacat és LockBit 3.0, que permet als delinqüents sense coneixements tècnics realitzar atacs de ransomware.
• Advanced Persistent Threat (APT): Els actors APT són sovint finançats per estats nació o altres entitats amb grans recursos. Grups com Fancy Bear i Cozy Bear estan darrere d’atacs d’espionatge cibernètic i han participat en ciberactivitats patrocinades per governs.
• Atacants de Business Email Compromise (BEC): Els atacants de BEC utilitzen l’enginyeria social per suplantar empleats d’empreses i realitzar transferències de fons il·legals. Un exemple conegut és el cas de Whaling, en què ataquen alts executius de les empreses per obtenir resultats financers significatius.
• Initial Access Brokers (IAB): Els IAB són intermediaris que venen accés inicial a sistemes compromesos a altres atacants. Aquests actors faciliten l’entrada als cibercriminals mitjançant la venda d’accessos compromesos en fòrums de la Dark Web o xats de Telegram.
• Malware Developers: Els desenvolupadors de malware creen programari maliciós per a diverses finalitats. Grups com Lazarus Group han desenvolupat malware com WannaCry, que ha afectat a empreses de tot el món.
• Atacants de Hacktivisme: Els atacants de hacktivisme utilitzen les seves habilitats tècniques amb finalitats polítiques o socials. Grups com “Anonymous” han realitzat atacs a diverses organitzacions i governs en nom de la justícia social i la transparència.

Aquesta diversitat d’actors en ciberseguretat mostra la complexitat del panorama actual de les amenaces. Entendre els seus comportaments i les seves motivacions és fonamental per a la prevenció i la resposta a incidents en ciberseguretat.

La ciberintel·ligència és una branca crucial de la ciberseguretat que es dedica a la recopilació i anàlisi d’informació relativa als actors de ciberatacs i les amenaces en línia. El seu objectiu principal és proporcionar una comprensió detallada dels atacants i les seves tècniques per ajudar les organitzacions a protegir-se millor contra les amenaces cibernètiques.

Bàsicament, els objectius de la ciberintel·ligència són dos:

• Caracterització dels Atacants. La ciberintel·ligència té com objectiu estudiar i caracteritzar els actors de ciberatacs. Això inclou la identificació de les seves motivacions, mètodes d’atac i eines que utilitzen. A través d’aquesta caracterització, es pot anticipar el comportament dels atacants i les seves pròximes accions.
• Documentació de Casos Anteriors. La ciberintel·ligència documenta casos anteriors d’atacs i incidents. Aquesta història de casos anteriors proporciona una base de coneixement per comprendre les tendències i les evolucions en el món del ciberdelinqüent. La informació històrica és clau per identificar patrons i preveure futures amenaces.

Les tasques concretes que solen realitzar els analistes de ciberintel·ligència són:

• Recerca d’Informació. La ciberintel·ligència realitza una recerca constant en l’entorn en línia per identificar possibles amenaces. Això inclou el seguiment de fòrums subterranis, xats de ciberdelinqüents i l’observació de comunitats de ciberseguretat.
• Anàlisi de Tàctiques, Tècniques i Procediments (TTP). L’anàlisi de TTP implica l’estudi de com els atacants duen a terme els seus atacs, incloent-hi tècniques específiques, eines utilitzades i seqüència d’operacions. Aquesta anàlisi ajuda a comprendre com es pot millorar la protecció i la detecció.
• Integració de la ciberintel·ligència en Red Team i Blue Team. La ciberintel·ligència és utilitzada per equips Red Team que simulen atacs per descobrir vulnerabilitats, i també pels equips Blue Team que són responsables de la defensa i la resposta als incidents. Proporciona als dos equips una visió més clara de les amenaces actuals i els ajuda a millorar les seves estratègies.

Per altra banda, l’aplicació de la ciberintel·ligència pot ajudar a:

• Estadístiques: l’estudi dels ciberatacs que succeïxen al món permet obtenir dades sobre l’evolució dels atacs, les noves tendències i els sectors més afectats.
• Red Team: la ciberintel·ligència és fonamental per als equips Red Team que simulen atacs cibernètics. Les dades i els informes de la ciberintel·ligència els permeten modelar atacs realistes i identificar les vulnerabilitats en els sistemes i les xarxes.
• Blue Team: els equips Blue Team utilitzen la ciberintel·ligència per millorar la seva capacitat de detecció d’amenaces i la resposta als incidents. Les dades de la ciberintel·ligència els ajuden a identificar els indicadors de compromís (o IOC, per les seves sigles en anglès) i a desenvolupar mesures de seguretat més efectives.

L’ésser humà és el vector d’entrada per als atacants i els tipus d’atacs que fan servir, així com les principals eines involucrades. Els atacants empren diversos vectors d’entrada per iniciar incidents de ciberseguretat.

Alguns dels vectors d’entrada més freqüents inclouen:

• Phishing. El phishing és una tècnica en què els atacants envien correus electrònics o missatges disfressats com a comunicacions legítimes per enganyar les persones i fer-les revelar informació confidencial com contrasenyes o dades financeres.
• Malware en cracks o programari il·legítim. Els atacants sovint amaguen programari maliciós en versions piratejades de programaris, anomenats cracks o aplicacions il·legítimes, aprofitant-se de les ganes de l’usuari d’aconseguir contingut gratuït. Aquest malware pot incloure botnets, stealer, ransowmare i altres amenaces.
• Atacs de força bruta. En aquest vector, els atacants intenten endevinar contrasenyes o altres credencials mitjançant la prova repetitiva de combinacions possibles fins a l’èxit. Aquesta tècnica s’utilitza per superar proteccions de contrasenya febles.
• Explotació de vulnerabilitats. Aprofitant les vulnerabilitats en aplicacions o sistemes sense les darreres actualitzacions de seguretat, els atacants poden obtenir accés no autoritzat a un sistema.

L’ésser humà ocupa una posició fonamental en el context de la ciberseguretat. Les ciberamenaces sovint aprofiten la psicologia, i les vulnerabilitats humanes, per aconseguir els seus objectius. Entendre com els individus poden ser el punt d’entrada, esdevenint la dèbil línia de defensa, és crucial per a una ciberseguretat efectiva. A continuació, es detallen algunes de les dimensions més rellevants de la interacció entre l’ésser humà i la ciberseguretat:

• Enginyeria Social: L’enginyeria social és una tècnica comunament utilitzada pels atacants per enganyar les persones i aconseguir la seva col·laboració involuntària. Això pot incloure l’ús de trucades telefòniques, correus electrònics de phishing i altres formes de manipulació psicològica. Els atacants poden apel·lar a l’empatia, la curiositat o la por per obtenir la cooperació de les víctimes.
• Factors Humans de les Filtracions de Dades: Moltes filtracions de dades es produeixen a causa d’errors humans. Això pot ser tan senzill com l’enviament accidental de correus electrònics amb dades sensibles a la persona equivocada o la pèrdua de dispositius que contenen informació confidencial. L’ésser humà és sovint el punt feble en les polítiques de seguretat de les organitzacions.
• Consciència en Ciberseguretat: La formació i la conscienciació en ciberseguretat són elements clau per millorar la seguretat dels individus i les organitzacions. Entendre i reconèixer els intents de phishing, protegir les contrasenyes i identificar les amenaces és essencial per reduir els riscos associats a les accions humanes.
• Els atacants s’aprofiten de l’ésser humà: Els atacants són conscients de les vulnerabilitats humanes i fan servir tàctiques específiques per aprofitar-se d’elles. Això inclou la creació de contingut de phishing altament persuasiu, l’ús de tècniques d’enginyeria social més sofisticades i l’exploració de tendències socials i esdeveniments actuals per aconseguir que les víctimes obrin arxius maliciosos o facin clic en enllaços perillosos.
• Seguretat de les Persones i les Organitzacions. La ciberseguretat no només implica protegir les xarxes i els sistemes, sinó també educar i conscienciar les persones. La seguretat de les persones és un element crític de la seguretat global de les organitzacions. Això implica promoure la cultura de la ciberseguretat, l’ús de contrasenyes segures, la gestió de dades i la consciència de les amenaces.

La ciberdelinqüència no només implica tecnologia i codi, sinó que també té un transfons d’economia submergida. El negoci de l’engany es caracteritza per la professionalització i l’organització de les activitats ciberdelinqüents. Aquesta àrea es dedica a l’engany i a l’obtenció d’ingressos mitjançant una varietat de tècniques i eines. Els aspectes clau del negoci de l’engany en ciberseguretat son:

• Organització de Campanyes d’Engany: El negoci de l’engany implica la realització d’enginys sofisticats per enganyar les persones i les organitzacions. Aquests enginys poden incloure campanyes de phishing, spreadphishing, trucades telefòniques, i altres tècniques destinades a obtenir l’atenció i la confiança de les víctimes. Aquests actes d’engany són executats de manera professional i amb precisió.
• Accés a Recursos Avançats: Els actors (cibercriminals) que es dediquen al negoci de l’engany tenen accés a recursos avançats, incloent-hi eines d’automatització de correus electrònics, programari de tipus Botnet per robar de manera contínua les credencials, i fòrums i xats a la Dark Web on poden comprar, vendre i compartir coneixements.
• Monetització Sense Operació Directa: Una característica rellevant d’aquest negoci és la que permet als delinqüents aconseguir beneficis sense haver de efectuar operacions directes. Per exemple, els Initial Access Brokers (IAB) venen l’accés a sistemes compromesos a altres ciberdelinqüents, que poden aprofitar aquesta entrada per cometre els seus propis atacs. Això crea una xarxa d’intercanvis de recursos i beneficis entre delinqüents.
• Automatització de la Recopilació de Dades: Els actors de l’engany utilitzen la tecnologia per a la recopilació massiva de dades i la construcció de perfils de víctimes. Això inclou la recopilació de dades personals, detalls financers i informació rellevant per a l’execució d’atacs específics. La recopilació d’aquestes dades és sovint automatitzada, la qual cosa permet als atacants ampliar les seves operacions i la seva efectivitat.
• Continuïtat d’Operacions: A diferència de molts ciberatacs que són detectats i mitigats, les campanyes d’engany sovint passen desapercebudes durant períodes prolongats. Els atacants poden mantenir les seves operacions d’engany en curs de manera contínua, mantenint les seves fonts de guanys durant un temps estès.
• Difícil Detecció: El negoci de l’engany és especialment difícil de detectar, ja que es basa en la manipulació psicològica i l’engany. Les campanyes poden ser altament dirigides i personalitzades, fent que sigui encara més complicat identificar-les com a amenaces. A més, la població que ho detecta, moltes vegades ja no informa, doncs l’abundància de comunicacions malicioses que vivim avui ha ajudat ha normalitzat el seu rebuig sense donar-li importància.

A tall de conclusió, el negoci de l’engany en ciberseguretat és un exemple de com els ciberdelinqüents s’han professionalitzat i organitzat per obtenir beneficis. L’ús d’enginys sofisticats, la disponibilitat d’eines avançades i la seva capacitat per aconseguir ingressos sense exposar-se directament fan que aquesta àrea sigui un desafiament significatiu per a la comunitat de la ciberseguretat. La identificació i la mitigació d’aquestes amenaces requereixen una vigilància constant i la formació i conscienciació de persones i organitzacions en com defensar-se contra les tàctiques d’engany.