Los ataques cibernéticos son ya son el quinto riesgo más importante en el mundo, según el Foro Económico Mundial, y los sufridos este año son buena muestra de ello. Repasamos, de la mano de la firma de seguridad ESET, los más sofisticados y que más daños han causado, en un 2022 marcado por la guerra de Ucrania, que ha sido un disparador de los incidentes.
Los ciberataques han sido un claro protagonista del año que ya termina, lo que ha añadido complejidad a la actividad empresarial en todo el mundo y ha colocado la ciberseguridad en lo más alto de la lista de prioridades de las organizaciones. Son muchos los ataques que han sido noticia a lo largo de 2022, en el que el hacktivismo, la desinformación, el ransomware y el aprovechamiento de vulnerabilidades han sido una constante.
Estos son los diez principales ciberataques que por los daños que han causado, por su nivel de sofisticación o por sus repercusiones geopolíticas.
1. Ciberataques contra Ucrania
La infraestructura crítica de Ucrania se ha encontrado una vez más, en el punto de mira de los ciberdelincuentes. A principios de la invasión rusa, los investigadores de ESET y de Microsoft trabajaron de forma estrecha con el CERT-UA para solucionar un ataque dirigido a la red eléctrica de Ucrania y que involucraba malware destructivo que el grupo Sandworm había intentado desplegar contra subestaciones eléctricas de alto voltaje. El malware, que esta firma denominó Industroyer 2, se utilizó en combinación con una nueva versión de la variante del malware destructivo CaddyWiper, muy probablemente para ocultar las huellas del grupo de delincuentes, ralentizar la respuesta a incidentes y evitar que los operadores de la empresa de energía recuperaran el control.
2. Malware destructivo
CaddyWiper no fue, ni mucho menos, el único malware destructivo descubierto en Ucrania justo antes o durante las primeras semanas de la invasión rusa. También hicieron de las suyas HermeticWiper e IsaacWiper. Como explica el especialista, el 23 de febrero su telemetría detectó HermeticWiper en cientos de dispositivos de varias organizaciones en Ucrania. Al día siguiente, comenzó un segundo ataque destructivo de borrado de datos contra una red gubernamental ucraniana, esta vez con IsaacWiper.
3. Internet fuera de servicio en Ucrania
Apenas una hora antes de la invasión, un importante ciberataque contra la empresa comercial de Internet por satélite, Viasat, interrumpió el servicio de Internet de banda ancha para miles de personas en Ucrania e incluso en otros puntos de Europa. Se cree que el ataque, que aprovechó un dispositivo VPN mal configurado para acceder a la sección de gestión de la red de satélites, pretendía mermar las capacidades de comunicación del mando ucraniano durante las primeras horas de la invasión. Sin embargo, sus efectos se dejaron sentir mucho más allá de las fronteras de Ucrania.
4. Conti en Costa Rica
Uno de los principales actores de la ciberdelincuencia clandestina este año ha sido el grupo de ransomware como servicio (RaaS) Conti. Una de sus incursiones más peligrosas fue contra la pequeña nación centroamericana de Costa Rica, donde se declaró una emergencia nacional después de que el gobierno calificara un ataque paralizante como un acto de “ciberterrorismo”. Desde entonces, el grupo ha desaparecido, aunque es probable que sus miembros se hayan dedicado a otros proyectos o hayan cambiado de marca, ya que los grupos de ransomware como servicio (RaaS por sus siglas en inglés) suelen evitar la vigilancia de las fuerzas de seguridad y los gobiernos.
5. Distintos ransomware dirigidos a Estados Unidos
Una alerta la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, exponía en septiembre que diferentes ciberdelincuentes vinculados al régimen de Irán habían logrado comprometer a un gobierno municipal estadounidense y a una empresa del sector aeroespacial, entre otros objetivos, aprovechando la vulnerabilidad Log4Shell para campañas de ransomware, lo que no es muy habitual en entidades respaldadas por el Estado. También tuvo lugar otro ataque, en esta ocasión al gobierno de Estados Unidos. Una organización no identificada del Poder Ejecutivo Civil Federal (FCEB) sufrió una brecha de seguridad y se desplegó malware de minería de criptomonedas.
6. El millonario robo a Axie Infinity
Ronin Network fue creada por el desarrollador vietnamita de juegos de blockchain Sky Mavis para funcionar como una cadena lateral de Ethereum para su juego Axie Infinity. En marzo de 2022 se supo que unos ciberdelincuentes habían conseguido utilizar claves privadas robadas para falsificar retiradas por valor de 173.600 Ethereum (592 millones de dólares) y 25,5 millones de dólares del bridge Ronin en dos transacciones. El robo resultante de 618 millones de dólares, a precios de marzo, fue el mayor de la historia en lo que respecta al mundo de las criptomonedas. Desde entonces se ha vinculado al grupo norcoreano Lazarus con este hecho.
7. Ataques de Lapsus$ a grandes empresas
Lapsus& entró en escena en 2022 como un grupo de extorsión que utilizaba robos de datos de alto perfil para forzar el pago por parte de sus víctimas. Entre ellas se encuentran Microsoft, Samsung, Nvidia, Ubisoft, Okta y Vodafone. Entre sus muchos métodos se encuentra el soborno de personal interno de las empresas y de sus responsablesl Aunque el grupo había permanecido relativamente en silencio durante un tiempo, resurgió a finales de año tras piratear Rockstar Games, desarrolladora de Grand Theft Auto. Varios presuntos miembros del grupo han sido detenidos en Reino Unido y Brasil.
8. Ataque a la Cruz Roja Internacional (CICR)
En enero, la Cruz Roja Internacional informó de una importante filtración que puso en peligro los datos personales de más de 500.000 víctimas “muy vulnerables”. Robados a un contratista suizo, los datos incluían detalles de personas separadas de sus familias debido a conflictos, migraciones y desastres, personas desaparecidas y sus familias, y personas detenidas. Posteriormente se atribuyó la autoría del ataque a un Estado no identificado y se produjo al aprovecharse de un sistema sin parches.
9. Ataque a Uber
El gigante de los servicios de transporte por carretera ya sufrió una importante brecha en 2016,cuando se robaron datos de 57 millones de usuarios. En septiembre de 2022, un ciberdelincuente, posiblemente un miembro de Lapsus$, los sistemas de correo electrónico en la nube, repositorios de código, una cuenta interna de Slack y entradas de HackerOne de Uber se vieron comprometidos. El objetivo era un contratista externo de Uber, que probablemente obtuvo su contraseña corporativa en la dark web.
10. Ataque a Medibank
En el último trimestre de este año, un ransomware logró acceder a los datos personales de los cuatro millones de clientes del gigante australiano de los seguros de salud, en un ataque que puede acabar costando a la empresa unos 35 millones de dólares. Se cree que los responsables del ataque están vinculados al ransomware como servicio (RaaS) REvil con credenciales privilegiadas comprometidas responsables del acceso inicial. Los afectados se enfrentan ahora a un posible aluvión de intentos de suplantación de identidad.