Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Informe de tendències de ciberseguretat 2n semestre de 2020 La nova normalitat cibernètica
1
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
El contingut d’aquesta guia és titularitat de l’Agència de Ciberseguretat de Catalunya i resta subjecta a la llicència de Creative Commons BY-NC-ND.
L’autoria de l’obra es reconeixerà a través de la inclusió de la menció següent:
Obra titularitat de l’Agència de Ciberseguretat de Catalunya. Llicenciada sota la llicència CC BY-NC-ND. Aquesta guia es publica sense cap garantia específica sobre el contingut.
Aquesta llicència té les particularitats següents:
Vostè és lliure de: Copiar, distribuir i comunicar públicament l’obra.
Sota les condicions següents: Reconeixement: S’ha de reconèixer l’autoria de l’obra de la manera especificada per l’autor o el llicenciador (en tot cas, no de manera que suggereixi que gaudeix del suport o que dona suport a la seva obra).
No comercial: No es pot emprar aquesta obra per a finalitats comercials o promocionals.
Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir d’aquesta obra.
Avís: En reutilitzar o distribuir l’obra, cal que s’esmentin clarament els termes de la llicència d’aquesta obra. El text complet de la llicència es pot consultar a https://creativecommons.org/licenses/by-nc-nd/4.0/deed.ca L’informe inclou recursos gràfics, com imatges i icones, subministrades des de plataformes de continguts gratuïts de lliure difusió. Menció específica a: https://www.iconfinder.com, https://pixabay.com.
2
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Aquest document és fruit del seguiment i de l'anàlisi de les tendències en relació amb les amenaces de ciberseguretat detectades durant el segon semestre de 2020 per part de l’Agència de Ciberseguretat de Catalunya.
Per a la realització d'aquest informe s'han tingut en compte l’activitat i la documentació pròpies generades per l’Agència de Ciberseguretat de Catalunya, així com diversos informes de referència i fonts qualificades d’entitats, fabricants, organismes i professionals del món de la ciberseguretat, tant de l’àmbit nacional com internacional.
2
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Índex
Resum 4
Ha estat notícia 6 Les organitzacions encaren la nova normalitat amb el creixement de l’amenaça dels atacs de ransomware, DDoS i els provocats per interns 10 El cibercrim evoluciona, s’adapta a la nova normalitat i se centra en els atacs que donen més beneficis 20 Augmenta la tensió geopolítica: ciberespionatge, campanyes de desinformació i ciberatacs a la cadena de subministrament de les vacunes 32
Baròmetre d’amenaces 42
Conclusions 50
3
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Resum
4
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Resum
Ha estat notícia. A final de 2020, es va detectar el que probablement ha estat el ciberatac més gran de la història a la cadena de subministrament. El mes de desembre, l’empresa de SolarWinds Corporation és una companyia nord- americana que desenvolupa programari de gestió de ciberseguretat FireEye va descobrir que uns ciberatacants havien xarxa, sistemes i infraestructura tecnològica. aconseguit distribuir programari maliciós a les actualitzacions del software Orion de Solarwinds. S’especula que tot va començar el 2019, quan SolarWinds hauria estat compromesa per en un ciberatac a partir d’una contrasenya feble, “Solarwinds123”. Ara bé, aquest no és un cas aïllat. En poques setmanes, es va detectar que el proveïdor Able Software (Mongòlia) i l’Autoritat de Certificació del govern del Vietnam també es van veure compromesos i van ser utilitzats per difondre programari maliciós a tots els seus clients. Les organitzacions encaren la nova normalitat amb el creixement de l’amenaça dels atacs de ransomware, DDoS i els provocats per interns. Amb la covid-19, les organitzacions han desplegat el teletreball, han incorporat encara més les noves tecnologies i han ampliat la connectivitat. Aquests fets han incrementat el risc de ciberatacs dirigits als accessos remots usats pels teletreballadors, així com d’atacs de ransomware i DDoS per explotar la dependència de les noves tecnologies. El nombre d’incidents de ransomware publicats als mitjans han En aquest sentit, el 3r trimestre de 2020, els atacs de mantingut una tendència creixent durant el 2020 ransomware a l’Estat espanyol van registrar un creixement del 160%. Pel que fa als atacs de DDoS, el 2020 s’han registrat magnituds de rècord: 2,3 Tbps (terabits per segon) i 809 Mpps (paquets per segon). La major connectivitat entre organitzacions ha augmentat el risc que els atacs afectin la cadena de subministrament. De fet, el 80% dels professionals de la ciberseguretat han patit, a les seves organitzacions, una fuita de dades relacionada amb un proveïdor durant el darrer any. Pel que fa a les fuites de dades, s’ha arribat a 37.000 milions de registres filtrats, un augment del 140% respecte del 2019, tot i que el nombre d’incidents ha disminuït un 48%. A banda d’això a les organitzacions ha crescut l’amenaça interna, o bé per negligència o bé, a causa de la crisi, per motivacions econòmiques. El cibercrim evoluciona, s’adapta a la nova normalitat i se centra en els atacs que aporten més beneficis. El cibercrim s’ha adaptat a la nova normalitat i ajusta la seva activitat a la recerca del màxim benefici. El robatori de credencials ha canviat i, actualment, el 72% de les credencials més cotitzades correspon als nous serveis utilitzats durant el distanciament social. Els atacs de BEC dirigits als teletreballadors són més habituals (creixen un 155% durant el 3r trimestre) i l’import mitjà El preu mitjà dels rescats no ha deixat de créixer, fins que han robat arriba als 61.000 euros. Els atacs de ransomware es tocat sostre i han patit la primera caiguda a final de 2020 dirigeixen a empreses i registren un augment del 400%. Tanmateix, per contrarestar la caiguda de l’import dels rescats detectada durant el darrer trimestre, incorpora nous factors d’extorsió: el 70% del ransomware fa ús del robatori d’informació i l’amenaça de filtrar-la. A tot això, a més a més, creixen els grups cibercriminals i els comportaments delictius del món físic es traslladen a la xarxa.
Augmenta la tensió geopolítica: ciberespionatge, campanyes de desinformació i atacs a la cadena de subministrament de les vacunes. L’interès per la vacuna de la covid-19 ha alimentat el ciberespionatge de grups de cibercriminals patrocinats per estats. Els incidents de ciberespionatge publicats als mitjans han crescut més d’un 50% a partir de la declaració de la pandèmia. En aquest context, les agències d’intel·ligència s’han dotat de capacitats defensives i ofensives. Les campanyes de desinformació i les notícies falses han tractat temes com ara la Els incidents vinculats al ciberespionatge publicats als covid-19 i, especialment el darrer trimestre de 2020, les vacunes. mitjans han crescut a partir de l’inici de la pandèmia Al darrere d’aquestes campanyes també hi ha grups organitzats amb interessos geopolítics, partidaris d’influir sobre l’opinió pública. La preocupació per les notícies falses està a l’alça i, tant els gegants digitals com els governs, segueixen desplegant accions per supervisar-les i mantenir-les sota control.
5
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Ha estat notícia
6
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Ha estat notícia A final de 2020, es va detectar el que probablement ha estat el ciberatac més gran de la història a la cadena de subministrament. Uns ciberatacants van aconseguir distribuir un malware a les actualitzacions del programari Orion de Solarwinds. Uns 18.000 clients d’arreu del món podrien haver estar impactats i el cost dels danys causats podria superar els 83.000 milions d’euros. Cal estar alerta, però, perquè no és un cas aïllat. Els models de seguretat Zero Trust poden aportar seguretat a les organitzacions en ecosistemes grans i complexos.
Possiblement, l’atac més gran contra una cadena de subministrament
SolarWinds Corporation és una companyia nord-americana que desenvolupa programari de gestió de xarxa, sistemes i infraestructura tecnològica. Disposa de més de 300.000 clients, entre els quals hi ha més de 425 empreses de les 500 més importants del món, però també organitzacions i agències governamentals1.
Els fets en qüestió van començar l’11 de desembre de 2020, quan la companyia de ciberseguretat FireEye va detectar un accés no autoritzat als seus sistemes que havia permès a uns ciberatacants obtenir diverses eines utilitzades per posar a prova la seguretat dels seus clients2. Les investigacions de l’incident van revelar que l’atac s’havia produït a través d’una backdoor, instal·lada a través d’una actualització del programari de gestió de xarxes SolarWinds Orion Platform, del qual FireEye n’era client3.
Poc després, es va descobrir que aquest fet era només la punta de l’iceberg. L’atac a FireEye era l’indici d’una operació d'espionatge digital, massiva i altament sofisticada, perpetrada a través de la cadena de subministrament del programari legítim Orion de Solarwinds. Aquest programari era utilitzat per 33.000 clients i s’estima que uns 18.000 podrien haver descarregat l’actualització maliciosa4, entre els quals hi ha agències governamentals, empreses tecnològiques i, fins i tot, empreses de ciberseguretat5.
Caldria buscar el seu origen a l’any 2019, quan SolarWinds podria haver estat compromesa per uns ciberatacants que van aconseguir inserir programari maliciós en l’actualització del programa Orion. Durat el mes de març, aquesta actualització maliciosa seria subministrada a milers de clients6. Alguns experts relacionen l’incident amb una contrasenya massa feble descoberta per un investigador, ‘Solarwinds123’7. No se n’ha confirmat l’autoria, tot i que diferents experts assenyalen grups de ciberdelinqüents vinculats a Rússia, com els anomenats Cozy Bear o Turla8.
Arran de la magnitud de l’atac, Microsoft el va batejar l’atac amb el nom de Solorigate. Ha comportat a Solarwinds una despesa de 2,5 milions d’euros el 2020, en concepte d’anàlisi, millora de les proteccions, consultoria i assegurances i s’estima que podrien augmentar fins als 25 milions durant el 20219. Per als clients, el cost podria superar els 83.000 milions d’euros10. Les xifres són esgarrifoses.
1 https://krebsonsecurity.com/2020/12/u-s-treasury-commerce-depts-hacked-through-solarwinds-compromise/ 2 https://noticiasseguridad.com/hacking-incidentes/fireeye-es-hackeada-300-herramientas-de-seguridad-robadas-para-encontrar-vulnerabilidades-y-atacar-a-los- clientes-de-la-compania/ 3 https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html 4 https://www.zdnet.com/article/sec-filings-solarwinds-says-18000-customers-are-impacted-by-recent-hack/ 5 https://www.bleepingcomputer.com/news/security/solarwinds-victims-revealed-after-cracking-the-sunburst-malware-dga/ 6 https://www.kiuwan.com/solarwinds-hack-timeline/ 7 https://www.theregister.com/2020/12/16/solarwinds_github_password/ 8 https://www.securityweek.com/malware-used-solarwinds-attack-linked-backdoor-attributed-turla-cyberspies 9 https://www.zdnet.com/article/solarwinds-cybersecurity-spending-tops-3-million-in-q4-sees-20-million-to-25-million-in-2021/ 10 https://www.rollcall.com/2021/01/11/cleaning-up-solarwinds-hack-may-cost-as-much-as-100-billion/
7
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
L’atac a la cadena de subministrament de Solarwinds no és un cas aïllat
El mes de desembre de 2020 també es van identificar altres atacs a la cadena de subministrament, força similars al Solorigate, tot i que amb impactes sensiblement inferiors.
El proveïdor Able Software (Mongòlia), després de ser víctima d’un ciberatac, va difondre un programari maliciós de tipus backdoor integrat en una aplicació de xat legítima utilitzada per més de 430 entitats governamentals del país. Se sospita que darrere de l’atac hi podria haver algun grup de ciberdelinqüents vinculat a la Xina11. Així mateix, un grup de ciberdelinqüents desconegut va dur a terme un altre atac sofisticat a la cadena de subministrament de l'Autoritat de Certificació del govern del Vietnam, l’organització emissora de certificats digitals que s'utilitzen per signar electrònicament els documents oficials. Els ciberatacants van inserir codi maliciós en un conjunt d'eines de programari legítim, i tant empreses privades com agències governamentals van resultar afectades12.
Confiança zero per protegir-se dels atacs a la cadena de subministrament
En els atacs a la cadena de subministrament, els ciberdelinqüents ataquen un element vulnerable que participa en les operacions de provisió d’un producte o servei amb l’objectiu d’impactar altres actors que en prenen part. Aquests atacs s’aprofiten de la confiança existent entre les organitzacions i de la sensació que els ciberatacs han de provenir d’actors maliciosos externs. Però no sempre és així. Un atacant pot comprometre un proveïdor de confiança i utilitzar-lo per difondre malware amagat en un programari o maquinari legítim, com s’ha explicat en el cas de Solarwinds, o per internar-se a la xarxa d’un client a través d’un accés de servei.
El model de seguretat Zero Trust, o confiança zero, és l’enfocament més adequat per mantenir-se protegit en ecosistemes de proveïdors que creixen i pugen la complexitat. Es basa en el principi de “no confiar en res”, estableix un marc per minimitzar els riscos i analitzar de forma continuada cada element de la cadena de subministrament. Obliga a no relaxar-se i assumir que qualsevol element de la xarxa, qualsevol proveïdor o qualsevol servei pot ser compromès.
Un model de confiança zero obliga a exigir constantment l’autenticació dels usuaris i la verificació de dispositius, programaris i connexions, i tenir una visibilitat completa dels accessos i accions que es duen a terme. En un atac com el de Solarwinds, els clients impactats probablement no haguessin evitat la infecció amb un malware inclòs en un programari legítim, però sí que haguessin evitat que els ciberatacants es desplacessin per la seva xarxa o que realitzessin connexions amb servidors maliciosos.
Tot i que, segons una enquesta, el 67% de les organitzacions d’Europa han adoptat o es plantegen adoptar un model de confiança zero13, encara hi ha molt de camí per recórrer per tal que estigui àmpliament implantat. Cal estar alerta perquè, en un món cada vegada més hiperconnectat, els ciberdelinqüents tindran un interès especial en els atacs a la cadena de subministrament.
11 https://www.zdnet.com/article/chinese-apt-suspected-of-supply-chain-attack-on-mongolian-government-agencies/ 12 https://www.oodaloop.com/briefs/2020/12/28/vietnam-targeted-in-complex-supply-chain-attack/ 13 https://www.infosecurity-magazine.com/news/organizations-adopt-zero-trust/
8
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
9
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Les organitzacions encaren la nova normalitat amb el creixement de l’amenaça dels atacs de ransomware, DDoS i els provocats per interns
10
Informe de tendències de ciberseguretat - La nova normalitat cibernètica Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Baròmetre
Les organitzacions s’han vist obligades a Més interès per les credencials d’accés dels transformar-se digitalment per mantenir la seva professionals operativa en temps de restriccions de mobilitat. En Arran de la irrupció generalitzada del teletreball, conseqüència, les organitzacions han de fer front a l’interès dels cibercriminals per les credencials l’amenaça de patir algun tipus d’incident cibernètic, corporatives ha guanyat rellevància, ja que permeten sovint conseqüència d’un ciberatac. obtenir accés a les organitzacions per robar informació o perpetrar atacs de ransomware. El valor Atacs de ransomware en tendència creixent es dispara quan les credencials corresponen a un usuari amb privilegis d’administrador de domini. El Els atacs de ransomware han estat vinculats a preu mitjà al mercat negre varia en funció del tipus l’activitat econòmica. A partir del desconfinament d’entitat; les credencials d’accés a governs locals són global, a final del 2n trimestre, el nombre d’incidents les més cotitzades. d’aquest estil ha mantingut una tendència a l’alça, amb l’excepció del període de vacances (juliol - agost). A l’Estat espanyol, el 3r trimestre, els atacs de ransomware es van disparar un 160%14.
Il·lustració 3. Preu mitjà de les credencials d’accés amb privilegis d’administració de domini a la darkweb, per àmbit17.
L’amenaça interna de les organitzacions és més real que mai Durant els darrers mesos, hi ha hagut un increment
15 dels incidents causats per l’acció de treballadors Il·lustració 1. Nombre d’incidents de ransomware publicats als mitjans interns, o bé causats per negligències o bé de forma voluntària. En qualsevol cas, l’acció dels treballadors Atacs de DDoS més grans i de més durada interns pot causar un greu impacte en les El nombre d’atacs DDoS va augmentar un 151% organitzacions. Una enquesta revela que les durant la primera meitat de 2020 respecte del mateix conseqüències més probables són la pèrdua de període de 2019. El nombre d’atacs de DDoS de més dades i la disrupció de l’operativa, tot i que també amplada de banda (>100 Gbps) pràcticament es va destaquen l’impacte econòmic i el dany . multiplicar per quatre i els de menys (<5 Gbps), per Il·lustració 4. Impacte dels incidents de ciberseguretat causats per tres. A més, van créixer en durada i complexitat.
Il·lustració 2. Percentatge d’increment del nombre d’atacs de DDoS segons treballadors interns sobre l’organització18. l’amplada de banda (1a meitat de 2019 i 1a meitat de 2020)16.
14 https://www.europapress.es/portaltic/ciberseguridad/noticia-ataques-ransomware-aumentan-160-espana-ultimos-meses-alerta-check-point-20201008113018.html 15 Agència de Ciberseguretat de Catalunya 16 https://www.helpnetsecurity.com/2020/09/17/ddos-attacks-rise-in-intensity-sophistication-and-volume/ 17 https://resources.digitalshadows.com/whitepapers-and-reports/from-exposure-to-takeover 18 https://pages.bitglass.com/rs/418-ZAL-815/images/CDFY20Q3Bitglass2020InsiderThreatReport.pdf
11
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Les organitzacions encaren la nova normalitat amb el creixement de l’amenaça dels atacs de ransomware, DDoS i els provocats per interns Amb la covid-19, les organitzacions han desplegat el teletreball, han incorporat noves tecnologies i han incrementat la connectivitat. Aquests fets potencien el risc de ciberatacs dirigits als accessos remots, així com atacs de ransomware i DDoS per explotar la dependència de les noves tecnologies. La connectivitat entre organitzacions ha augmentat també el risc que els atacs afectin la cadena de subministrament. A banda, ha crescut el risc de l’amenaça interna, o bé per negligència o bé, a causa de la crisi, per motivació econòmica.
La covid-19 ha accelerat la transformació digital de les organitzacions. Si bé han hagut de prioritzar el desplegament de noves tecnologies per sobre de la El ransomware, o programari de segrest, és un programari seguretat cibernètica, la major part preveu augmentar el pressupost de maliciós que restringeix ciberseguretat durant els pròxims anys. Aquests fets incrementen el risc de totalment o parcialment l'accés ciberatacs dirigits als accessos remots mal protegits, així com atacs de als fitxers d'un dispositiu fins ransomware i DDoS per explotar la dependència de les noves tecnologies. que no es paga una Un altre risc és que, amb la digitalització i la connectivitat entre empreses, un determinada quantitat de atac contra un element de la cadena de subministrament pugui impactar a diners. la resta. Aquesta diversitat d’activitats del cibercrim ha propiciat que el nombre de fuites de dades hagi disminuït. Tanmateix, és cert que el total de registres (font: Termcat) filtrats ha augmentat. A banda del cibercrim, fruit de la situació de crisi econòmica, les organitzacions han d’estar al cas de l’amenaça dels treballadors o col·laboradors interns, o bé motivada per una negligència, o ElUn ransomware atac DDoS,, oo deprogramari bé per algun tipus de benefici econòmic, o bé per venjança. dedenegació segrest ,de és serveiun programari distribuït, maliciósés un atac que en restringeix què s'envia una Aspectes clau: totalmentgran quantitat o parcialment de peticions l'accés alsfalses fitxers alhora d'un a dispositiutravés de fins La covid-19 accelera la transformació digital i les organitzacions han quegrups no d'usuaris es paga ouna de xarxes d’afrontar les noves ciberamenaces amb projectes i inversió en determinadad'ordinadors zombiquantitat distribuïts de ciberseguretat. diners.per diferents zones geogràfiques. Els atacs de ransomware i de DDoS són la principal amenaça (font: Termcat) d’interrupció dels sistemes d’informació de les organitzacions. (font: Termcat) L’increment de la interacció digital motivada per la pandèmia és una oportunitat pels atacs a la cadena de subministrament, amb el Un atac DDoS, o de comerç electrònic i el sector sanitari com a objectiu. denegació de servei distribuït, El nombre de fuites de dades personals ha disminuït, però ha és un atac en què s'envia una crescut l'interès per les credencials d'accés a empreses. gran quantitat de peticions falses alhora a través de L’amenaça interna creix amb el teletreball, la precarietat econòmica i grups d'usuaris o de xarxes laboral, i el ciberespionatge se n’aprofita. d'ordinadors zombi distribuïts per diferents zones geogràfiques. La covid-19 accelera la transformació digital i les (font: Termcat) organitzacions han d’afrontar les noves ciberamenaces amb projectes i inversió en ciberseguretat
Des del començament de la pandèmia, les empreses s’han vist obligades a prendre mesures per fer possible el teletreball i evitar una aturada de la seva
12
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
activitat. A Catalunya, el nombre de teletreballadors ha augmentat un 278% Un atac de força bruta és un respecte del 2019 i, actualment, aproximadament el 18,5% dels treballadors atac d'autenticació que treballa des de casa més de la meitat dels dies19. Però encara hi ha camí per consisteix a intentar totes les recórrer, ja que el Govern fixava l’objectiu d’arribar a un 25% de entrades possibles a un teletreballadors per tal fer front a futurs brots de la covid-1920. sistema fins a trobar la que desbloqueja l'accés. Aquesta irrupció del teletreball ha estat possible gràcies a l’ús d’Internet i als 21 (font: Termcat) accessos remots a les xarxes empresarials . Així, les connexions via RDP i VPN han esdevingut eines imprescindibles pel treball a distància, però al mateix temps han suposat un repte seriós en matèria de ciberseguretat. Una vulnerabilitat és la Un atac de força bruta és un Actualment, les 4,3 milions de connexions RDP accessibles des d’Internet han feblesa d'un sistema atac d'autenticació que esdevingut objectiu dels ciberatacants22. S’han comptabilitzat fins a 100.000 consisteixinformàtic davanta intentar de totesles les atacs de força bruta diaris contra connexions RDP durant els mesos d’abril i entradesamenaces possibles a què està a un maig, gairebé cinc vegades més que els registres de final de 201923. En sistemaexposat. fins a trobar la que desbloqueja l'accés. altres casos, les connexions poden presentar alguna vulnerabilitat, com (font: Termcat) l’anomenada Bluekeep (CVE-2019-070824), causada per la falta (font: Termcat) d’actualitzacions del programari.
CISO o Chief Information Les VPN també han estat objectiu dels cibercriminals, els quals han intentat Security Officer és el director explotar les vulnerabilitats dels servidors no actualitzats o adquirir credencials de seguretat de la informació d’accés al mercat negre. Una evidència d’aquest fet és la troballa a la dark d'una organització i màxim web d’una llista de 900 credencials de servidors VPN Pulse Secure, que responsable de garantir els pertanyien a governs, bancs i grans companyies; s’havien obtingut a través de seus bens i tecnologies l’explotació d’una vulnerabilitat25. d'informació. Amb la sobtada irrupció de la covid-19 i la necessitat de mantenir l’activitat de les organitzacions, el 81% dels CISO van veure’s obligats a accelerar la 26 La informàtica al núvol o cloud transformació digital imprescindible per permetre l’activitat a distància . computing és el sistema Sovint, les pràctiques de ciberseguretat no van ser les més adequades, per d'emmagatzematge i ús de la qual cosa ha arribat el moment de corregir-ho. Val a dir que el 71% de les recursos informàtics basat en organitzacions esperen augmentar el pressupost en ciberseguretat durant el servei en xarxa, que els pròxims tres anys: un 11% d’increment per part de les grans empreses i un consisteix a oferir a l'usuari un 12%, les PIME27. De fet, un 26% de les organitzacions té la ciberseguretat espai virtual, generalment a com a eix principal en els seus plans, fins i tot per davant de la informàtica al Internet, en què pot disposar núvol o de l’analítica de dades28. A més, un 42% de les organitzacions de les versions més contractarà nous professionals per dur a terme funcions de ciberseguretat, i actualitzades de maquinari i un 40% cobrirà les necessitats a través de proveïdors de serveis29. Si bé no programari. es tracta de xifres concloents, demostren que una part important de les (font: Termcat) organitzacions veu una prioritat en protegir els seus sistemes d’informació.
Els atacs de ransomware i de DDoS són la principal amenaça d’interrupció dels sistemes d’informació de les organitzacions
Cada vegada més organitzacions incorporen noves tecnologies en la seva activitat essencial. En conseqüència, creix l’amenaça que un incident cibernètic
19 https://www.rrhhpress.com/tendencias/50399-el-numero-de-teletrabajadores-aumenta-mas-de-un-200-en-espana-en-2020 20 https://www.niusdiario.es/economia/empleo/generalitat-calcula-mitad-trabajadores-catalanes-podrian-teletrabajar_18_3026370221.html 21 https://www.zdnet.com/article/rdp-and-vpn-use-skyrocketed-since-coronavirus-onset/ 22 https://www.techrepublic.com/article/how-one-attack-campaign-steals-and-sells-rdp-credentials/ 23 https://www.bankinfosecurity.com/brute-force-attacks-targeting-rdp-on-rise-a-14531 24 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0708 25 https://vpnoverview.com/news/hacker-leaks-credentials-to-900-enterprise-vpn-servers/ 26 https://www.prnewswire.com/news-releases/survey-85-of-cisos-admit-they-sacrificed-cybersecurity-to-quickly-enable-employees-to-work-remotely- 301135595.html 27 https://cio.economictimes.indiatimes.com/news/digital-security/firms-invest-14mn-on-cybersecurity-smbs-275k-on-average-in-2020/78485360 28 https://www.helpnetsecurity.com/2020/09/29/cybersecurity-top-priority-digital-transformation/ 29 https://news.microsoft.com/en-cee/2020/08/31/new-data-from-microsoft-shows-how-the-pandemic-is-accelerating-the-digital-transformation-of-cyber- security/
13
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
pugui causar la interrupció del funcionament d’un sistema d’informació que L’RDP (Remote Desktop bloquegi l’activitat d’una organització. Aquests incidents poden ser causats per Protocol) és un protocol un ciberdelinqüent mitjançant atacs de ransomware o de DDoS en els quals se propietari desenvolupat per sol·licita a la víctima el pagament d’una quantitat econòmica a canvi de Microsoft que permet la recuperar el funcionament dels sistemes d’informació. comunicació en l'execució d'una aplicació entre una Els atacs de ransomware han esdevingut els protagonistes del 2020, amb un terminal i un servidor de elevat nombre d’incidents que han causat la interrupció de l’activitat de diferents qualsevol tecnologia. La configuració per defecte organitzacions. No obstant això, a començament d’any, aquests atacs van utilitza el port 3389 per a perdre efectivitat impactats per l’aturada de l’activitat socioeconòmica 30 comunicar els terminals amb global . Però, a partir dels mesos de maig i juny, amb l’entrada a la nova el servidor de destinació. normalitat, la situació va canviar completament (veure il·lustració 1). Així, el 3r trimestre, els atacs de ransomware a l’Estat espanyol van registrar un increment del 160%31. Un dels motius principals va ser que els ciberdelinqüents Una VPN (Virtual Private van explotar els accessos RDP i VPN que s’havien desplegat per facilitar el L’RDP (Remote Desktop Network), o xarxa privada Protocol) és un protocol teletreball. De fet, els atacs via RDP són la causa de més de la meitat dels virtual, és una xarxa privada 32 propietari desenvolupat per incidents de ransomware contra les organitzacions . que s'estén, mitjançant un Microsoft que permet la procés d'encapsulació, i en comunicació en l'execució El nombre d’atacs de DDoS ha evidenciat una tendència a l’alça, amb un algun cas d'encriptació, dels d'una aplicació entre una increment del 151% durant la primera meitat de 2020 respecte del 2019 (veure paquets a diferents punts terminal i un servidor de il·lustració 2). Els atacs de DDoS també creixen en amplada de banda, tal i remots, fent ús qualsevol tecnologia. La com va comprovar Amazon en ser objectiu d’un atac de 2,3 Tbps, un valor d'infraestructures públiques 33 configuració per defecte rècord que supera l’anterior màxim registrat d’1,7 Tbps el març de 2018 . I de transport. utilitza el port 3389 per a augmenta la complexitat amb l’objectiu de confondre’s amb el trànsit de dades comunicar els terminals(font: Termcat) amb real i superar les mesures de protecció: l’FBI va alertar com els ciberdelinqüents el servidor de destinació. incorporen nous protocols de xarxa per tal que els paquets de dades enviats semblin peticions legítimes i col·lapsin els recursos del servidor34. En aquest sentit, Akamai va informar que havia estat capaç de mitigar l’atac més gran en Una VPN (Virtual Private 35 Network), o xarxa privada paquets per segon mai detectat: 809 Mpps contra un banc europeu . virtual, és una xarxa privada que s'estén, mitjançant un Si bé el atacs de ransomware i de DDoS tenen com a objectiu afectar la procés d'encapsulació, i en disponibilitat dels sistemes d’informació dels seus objectius, la motivació dels algun cas d'encriptació, dels primers és fonamentalment econòmica i la dels segons és més variada. paquets a diferents punts remots, fent ús d'infraestructures públiques de transport. (font: Termcat)
Il·lustració 5. Motivacions dels actors maliciosos per realitzar atacs de DDoS36, 37, 38, 39
30 https://ciberseguretat.gencat.cat/web/.content/PDF/InformeTendenciesS12020.pdf 31 https://www.europapress.es/portaltic/ciberseguridad/noticia-ataques-ransomware-aumentan-160-espana-ultimos-meses-alerta-check-point-20201008113018.html 32 https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report 33 https://www.cybersecurityintelligence.com/blog/amazon-web-services-fights-off-massive-ddos-attack--5046.html 34 https://www.zdnet.com/article/fbi-warns-of-new-ddos-attack-vectors-coap-ws-dd-arms-and-jenkins/ 35 https://blogs.akamai.com/2020/06/largest-ever-recorded-packet-per-secondbased-ddos-attack-mitigated-by-akamai.html 36 https://www.ehackingnews.com/2020/09/ddos-attacks-from-usa-uk-ukraine-were.html 37 https://securityboulevard.com/2020/09/teenager-arrested-for-last-weeks-ddos-attacks-on-miami-dade-public-school-network/ 38 https://www.criticalinfrastructureprotectionreview.com/news-september-2020/fbi-thousands-of-orgs-targeted-by-rdos-extortion-campaign/ 39 https://www.imperva.com/blog/major-global-ransom-denial-of-service-campaign-continues-rising-trend-in-global-ddos-attacks/
14
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
L’increment de la interacció digital motivada per la Una injecció de codi és un atac en què el ciberdelinqüent pandèmia és una oportunitat per als atacs a la cadena de injecta codi maliciós en el subministrament, amb el comerç electrònic i el sector formulari de pagament d'un sanitari com a objectiu lloc web, per tal de poder obtenir les dades bancàries Com més digitalitzat i interconnectat és un ecosistema productiu, més gran és que la víctima hi introdueix i, el risc que un atac a la cadena de subministrament contra un dels seus més endavant, vendre-les al elements afecti tercers. Precisament, la pandèmia ha impulsat que les web fosc. organitzacions incrementin la connectivitat per facilitar el teletreball, la logística (font: Termcat) i el subministrament dels serveis i productes. Però no totes han tingut cura de la ciberseguretat. En una enquesta del mes de setembre es destacava que, en els últims dotze mesos, un 80% dels professionals de la ciberseguretat Un registre és un conjunt de havien patit, a les seves empreses, una fuita de dades relacionada amb un Una injecció de codi és un 40 campsatac en que què contenen el ciberdelinqüent proveïdor . El cas més paradigmàtic és l’atac a Solarwinds Corporation, que informacióinjecta codi relativa maliciós a unaen el va impactar aproximadament 18.000 clients d’arreu del món i que possiblement personaformulari o de entitat. pagament d'un ha estat el més gran atac a la cadena de subministrament de la història (veure capítol Ha estat notícia). lloc web, per tal de poder obtenir les dades bancàries Unque registre la víctima és hiun introdueix conjunt de i, Durant la pandèmia, moltes empreses han fet servir el comerç electrònic per campsmés endavant, que contenen vendre -les al garantir la provisió dels seus productes i serveis a distància, i han fet ús del informacióweb fosc. relativa a una servei de plataformes de tercers per dur a terme el pagament en línia. El persona o entitat. cibercrim ho ha aprofitat amb atacs d’injecció de codi contra aquestes (font: Termcat) plataformes comercials. Es tracta de la tipologia d’atacs a la cadena de subministrament que més ha crescut el 2020. Un cas destacat ha estat l’atac contra els webs de comerç electrònic de Warner Music Group, a través d’un proveïdor que hauria permès el robatori de dades personals, adreces i targetes de crèdit dels clients41. Però hi ha hagut molts més casos, com ara la campanya d’atacs contra la plataforma de pagaments Magento, a partir del qual es van veure compromeses unes 2.000 botigues en línia que en feien ús42.
A banda del comerç electrònic, el sector sanitari ha estat un objectiu dels atacs a la cadena de subministrament. El motiu és la dependència dels centres sanitaris amb els seus proveïdors per tal de mantenir l’atenció als pacients en plena crisi sanitària. En aquestes condicions, un atac de ransomware contra un proveïdor del sector sanitari pot tenir un impacte crític. El mes de setembre, per exemple, Universal Health Services, un dels més grans proveïdors del sector sanitari dels Estats Units d’Amèrica (EUA), va patir un atac de ransomware que va impactar a 400 dels seus centres. Aquests van experimentar una caiguda de la xarxa informàtica i problemes operatius durant 3 setmanes43.
El nombre de fuites de dades personals ha disminuït, però ha crescut l'interès per les credencials d'accés a empreses
Cada any, el nombre de dades personals filtrades a Internet supera l’anterior, i l’any 2020 no n’ha estat l’excepció: es calcula que 37.000 milions de registres han estat filtrats, un augment del 140% respecte del 2019. Ara bé, el 82% d’aquests registres han estat causats per 5 incidents que podem considerar de gran envergadura44.
40 https://www.scmagazine.com/home/security-news/supply-chain-weak-security-link-for-92-percent-of-u-s-companies/ 41 https://hotforsecurity.bitdefender.com/?p=24081 42 https://cisomag.eccouncil.org/under-attack-2000-magento-stores-hacked-in-a-magecart-campaign/ 43 https://www.healthcareitnews.com/news/uhs-says-all-us-facilities-affected-apparent-ransomware-attack 44 https://www.paymentscardsandmobile.com/140-yoy-growth-37-billion-data-breach-records-leaked-in-2020/
15
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
En canvi, el nombre de fuites de dades ha disminuït un 48%: ha passat de Les credencials son 7.533 incidents el 2019 a 3.932 el 202045. El motiu d’aquest canvi el pot haver cadascuna de les dades de causat el fet que les organitzacions han aplicat mesures de protecció eficaces control que permeten per evitar els errors de configuració, els quals van ser l’origen del 80% dels identificar i autenticar un registres exposats el 201946. Tot i això, també s’han produït fuites rellevants usuari i donar-li accés als causades per errors de configuració en servidors ElasticSearch, com ara la sistema d'acord amb els filtració de 320 milions de clients de diverses aplicacions de cites47 o la filtració permisos que té assignats. de 350 milions de registres per part de la proveïdora de VoIP Broadvoice48. Nota: les dades credencials més habituals són la Un aspecte que pot haver influït en la millora de les mesures de protecció és el combinació de nom d'usuari i risc a rebre importants sancions en aplicació de les normatives de protecció contrasenya. de dades. En aquest sentit, el 2020 s’han imposat multes milionàries com a conseqüència de les bretxes de seguretat dels darrers anys (la protecció de la (font: Termcat) informació no s’havia realitzat amb les mesures tècniques i organitzatives adequades). Per exemple: la multa de 65 milions d’euros al banc Capital One (EUA)49; la de 22 milions d’euros a British Airways (que en principi era de més Les credencials son 50 51 La dark web, o web fosc, és la de 180 milions d’euros) , i els 20 milions d’euros a la cadena d’hotels Marriot . cadascuna de les dades de part del web profund allotjat control que permeten en xarxes xifrades, Si ha baixat el nombre d’incidents de fuites de dades personals, també és pel identificar i autenticar un superposades a Internet, que fet que els ciberdelinqüents han orientat la seva activitat al robatori de les usuari i donar-li accés als utilitzen l'anonimat per a credencials de treballadors per accedir a entorns corporatius. Igual que passa sistema d'acord amb els l'intercanvi d'informació. amb les dades personals, la principal motivació és vendre aquestes credencials permisos que té assignats. al mercat negre o utilitzar-les per realitzar atacs (per exemple, de (font: Termcat) Nota: les dades credencials ransomware). Si aquestes credencials corresponen a usuaris amb privilegis, més habituals són la el preu frega els 3.000 euros, en funció de la importància de l’actiu al qual combinació de nom d'usuari i permeten tenir accés. Tanmateix, poden arribar fins a 120.000 euros52. Un cas Una insider threat, o amenaça contrasenya.La dark web, o web fosc, és la pròxim d’aquesta realitat és l’atac de ransomware a l’empresa asturiana GAM, interna, és una amenaça que part del web profund allotjat en el qual es van utilitzar les credencials d’un usuari aconseguides mitjançant enrepresent xarxesa xifrades, per a(font: una entitatTermcat) les persones que en formen un atac de phishing amb temàtica covid-19 i que havien estat posades a la superposades a Internet, que venda a la dark web53. utilitzenpart o que l'anonimat hi estan pervinculades a l'i intercanvique tenen d'informació.accés a informació interna. (font: Termcat) (font: Termcat) L’amenaça interna creix amb el teletreball, la precarietat econòmica i laboral, i el ciberespionatge se n’aprofita Cada vegada més, es repeteixen els incidents relacionats amb treballadors o El cibercrim col·laboradors interns de les organitzacions. Són incidents que poden suposar un impacte molt greu. Es calcula que un incident per negligència d’un evoluciona, treballador té un cost mitjà superior als 245.000 euros, i que augmenta fins als s’adapta a la 617.000 euros si és intencionat54. Els treballadors interns que, per comportament negligent, posen en risc les nova organitzacions han augmentat durant la pandèmia fruit de l’increment del teletreball. Segons un estudi, el 56% de les companyies han reportat que els normalitat i se teletreballadors intenten esquivar els controls de seguretat per ocultar la centra en els seva activitat en línia, un 450% més que el 201955. atacs que Els atacs intencionats d’insiders poden tenir diverses motivacions, entre elles l’obtenció d’un benefici econòmic. Arran de la crisi econòmica derivada de la donen més 45 https://www.paymentscardsandmobile.com/140-yoy-growth-37-billion-data-breach-records-leaked-in-2020/ benefic46 https://ciberseguretat.gencat.cat/web/.content/PDF/InformeTendenciesT42019.pdfisUna insider 47 https://www.infosecurity-magazine.com:443/news/misconfigured-database-leaks-370/ threat48 https://siliconangle.com/2020/10/18/voip, o amenaça interna, és -provider-broadvoice-exposes-350m-customer-records-elasticsearch-cluster/ una49 a https://www.theverge.com/2020/8/8/21359761/capitalmenaça que representa -one-80-million-fine-2019-data-breach per50 a https://www.bbc.com/news/technology una entitat les persones -54568784 51 https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-marriott-international-inc-184million-for-failing-to-keep-customers- quepersonal en formen-data-secure/ part o que hi estan52 https://resources.digitalshadows.com/whitepapers vinculades i que tenen -and-reports/from-exposure-to-takeover accés53 https://www.elcomercio.es/tecnologia/asturias a informació interna. -innova/asturias-innova-gam-ciberataque-crisis-ransomware-plato-20200927000509-ntvo.html 54 https://www.helpnetsecurity.com/2020/09/08/mapping-the-motives-of-insider-threats/ 55 https://securityboulevard.com/2020(font: Termcat) /10/research-finds-450-increase-in-remote-employees-circumventing-security-to-mask-online-habits-or-steal-data/
16
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
pandèmia, amb més de 75.000 ERTO56 (Expedient de Regulació Temporal d’Ocupació) a Catalunya, la precarietat laboral pot temptar a cometre alguna acció il·lícita per obtenir ingressos addicionals. En aquesta línia, dos treballadors de Shopify, una empresa canadenca de comerç electrònic, van recopilar dades confidencials de l’empresa i dels clients per explotar-les personalment57.
A més, en la situació geopolítica actual, la intensa rivalitat i competència econòmica entre empreses i estats fomenta que es faci ús de treballadors interns per al ciberespionatge d’empreses i institucions estratègicament rellevants. És el cas d’un treballador de Tesla (EUA), que va rebutjar un milió d’euros per extreure informació confidencial dels models d’automòbil58. O un empleat d’una empresa de Nevada (EUA), al qual li van oferir més de 800.000 euros a canvi d’ajudar-los a accedir a la xarxa de la companyia59.
L’autenticació de múltiples Finalment, un ciberatac d’un treballador intern pot estar motivat per venjança: factors es basa en un sistema per exemple, per causa de la inseguretat laboral dels treballadors o de la de dues claus o més. possibilitat de ser acomiadat (una situació habitual en èpoques de crisi Es necessiten dos o més econòmica). És el cas d’un ex-empleat de la immobiliària Century 21 (EUA), que elements per iniciar sessió, va atacar l’empresa després de ser acomiadat. L’empleat era l’administrador que estiguin relacionats amb dels sistemes i, al ser acomiadat, va mantenir un superusuari que li donava un element que sabem accés a les dades de l’empresa. Gràcies a això es va dedicar a robar i (contrasenya), un element modificar informació, i va causar danys valorats en 40.800 euros60. que tenim (dispositiu mòbil o generador de claus) i/o una cosa que som (empremta Recomanacions dactilar o identificació biomètrica). Per tal de fer front a l’amenaça del ransomware, els atacs DDoS, les fuites de dades personals i l’amenaça interna, es recomanen les pràctiques següents: Els administradors de sistemes, i fins i tot la resta, han de disposar d’accessos amb doble factor d’autenticació. Les organitzacions han de promoure periòdicament programes de seguretat de la informació a tots els socis, empleats, col·laboradors, clients i proveïdors. Les organitzacions han de protegir i custodiar les còpies de seguretat fent-les fora de línia i assegurant que estiguin lliures de malware. Les organitzacions han de disposar d’un pla de continuïtat del negoci i un pla de recuperació de desastres, i han de validar que ha estat verificat el simulacre per a atacs ransomware i de DDoS. Les organitzacions han d’aproximar models de confiança zero amb la segregació dels serveis interns de la xarxa empresarial i disposar de protecció perimetral. Les organitzacions han de mantenir actualitzats i avaluar la seguretat dels accessos remots RDP i VPN. Les organitzacions han de disposar de proteccions anti-DDoS per als recursos essencials visibles des d’Internet. Les organitzacions han d’emmagatzemar les dades personals amb xifratge segur per evitar que un intrús pugui efectuar el robatori en text pla. Les organitzacions han de realitzar anàlisis de riscos en matèria de privacitat (Avaluació d’Impacte de Dades Personals) per tal d’establir les mesures de protecció adequades a les dades personals.
56 https://analisi.transparenciacatalunya.cat/Treball/Evoluci-di-ria-dels-Expedients-de-Regulaci-Tempora/atmi-6snp 57 https://www.securitymagazine.com/articles/93502-shopifys-breach-insider-threats-why-cisos-need-to-implement-zero-trust 58 https://www.securitymagazine.com/articles/93502-shopifys-breach-insider-threats-why-cisos-need-to-implement-zero-trust 59 https://www.zdnet.com/article/russian-arrested-for-trying-to-recruit-an-insider-and-hack-a-nevada-company/ 60 https://www.databreaches.net/insider-threat-vengeful-former-century-21-employee-charged-with-alleged-computer-tampering/
17
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Fets rellevants
El Consorci Sanitari Integral de Catalunya va La Borsa de Valors de Nova Zelanda va experimentar un atac de ransomware que va experimentar una sèrie d'atacs de DDoS i va obligar el personal sanitari de l’hospital Moisès haver d’aturar el servei. Aquests incidents van Broggi a treballar en paper. Es van veure afectar la capacitat de la Borsa de publicar compromesos serveis secundaris, sense anuncis de mercat al públic67. comprometre dades dels pacients o del 61 El districte escolar de Miami, el més gran dels personal . EUA amb 345.000 alumnes, va rebre un atac Poques setmanes després de l’atac a Mapfre, de DDoS per part d’un alumne de 16 anys. Es una altra asseguradora, Adeslas, va patir un va col·lapsar tota l'estructura en línia i es van atac de ransomware. Va obligar la companyia aturar les classes durant tres dies. El noi va fer a activar el seu pla de contingència. Tot i així, ús d’una aplicació en línia anomenada Low setmanes després de l’atac, encara hi havia Orbit Ion Cannon per realitzar els atacs. Se afectacions a la gestió de cites de la web62. sospita d’altres alumnes implicats en l’atac68. Adif va viure un atac de ransomware, executat El Servei Secret dels EUA va advertir de pel grup REvil. L’atac va ser controlat pels l'augment dels atacs cibernètics contra els serveis interns de seguretat. Es va indicar que proveïdors de serveis TI (MSP en anglès). A la infraestructura no es va veure afectada. Ara mesura que aquests esdevenen més populars, bé, es va filtrar informació a la dark web i els també s'han convertit en un objectiu més mateixos atacants afirmen en un blog que van atractiu per als cibercriminals. Atès que cada obtenir 800 GB de dades amb informació MSP generalment té accés a recursos vitals sensible de contractes, factures, certificats, per a múltiples clients, una sola violació de números de telèfon de clients i correus63. dades pot obrir la porta a dades confidencials de diverses organitzacions69. La companyia de telecomunicacions més gran de l'Argentina, Telecom SA, va patir un atac de Dos empleats de l’empresa de comerç ransomware amb un rescat de 6,1 milions electrònic Shopify van ser acomiadats per robar d’euros en monero (XMR). L'incident va dades de clients de 200 venedors (com a comprometre el CRM utilitzat per l'empresa per mínim). L’incident va afectar compradors i 70 allotjar les dades dels clients64. venedors de tot el món . Un treballador d’Amazon va ser detingut Un atac de ransomware a les escoles públiques després de filtrar correus de clients a tercers de Hartford, amb uns 18.000 estudiants i desconeguts. No s’ha fet públic el nombre gairebé 1.600 mestres, va endarrerir el primer d’afectats, però se’ls va alertar que podien ser dia de classe. Va afectar alguns serveis víctimes de phishing les pròximes setmanes71. compartits de la ciutat de Hartford, com el sistema que comunica les rutes de transport de L’agost de 2020, Tesla va acusar la companyia d'autobusos65. ex-treballadors que havien marxat a la Un empleat de Tesla va denunciar que un competència d'haver robat secrets sobre la home d’origen suposadament rus el va companyia, com ara documents importants convidar a col·laborar en un grup de projectes d'escala salarial, secrets comercials altament especials. Li va oferir uns 400.000 euros per sensibles, informació confidencial i d'enginyeria patentada sobre la gestió de instal·lar un ransomware i així poder després projectes de fabricació72. demanar el rescat de les dades66.
61 https://www.xataka.com/seguridad/ataque-ransomware-hospital-moises-broggi-barcelona-colapsa-algunos-servicios-secundarios 62 https://cybersecuritynews.es/segurcaixa-adeslas-activa-su-plan-de-contingencia-tras-sufrir-un-ataque-ransomware/ 63 https://cybersecuritynews.es/la-amenaza-de-los-ciberdelincuentes-que-se-cumplio-caso-de-adif/ 64 https://www.hackread.com/argentina-telecom-hacked-hackers-demand-7-5-million/ 65 https://news.yahoo.com/hartford-public-schools-postpone-first-153148827.html 66 https://www.businessinsider.com/elon-musk-confirms-tesla-was-target-of-failed-ransomware-attack-2020-8?IR=T 67 https://www.reseller.co.nz/article/682536/nzx-calls-akamai-additional-ddos-defence/ 68 https://www.fox23.com/news/trending/16-year-old-student-arrested-accused-cyberattacks-miami-dade-county- schools/JG43B4M3NFBKNINVJ4PI5LBFS4/ 69 https://www.techrepublic.com/article/how-managed-service-providers-can-pose-a-risk-to-their-customers/ 70 https://hotforsecurity.bitdefender.com/blog/hacker-steals-7-5-million-from-maryland-non-profit-by-compromising-employees-personal-computer-24078.html 71 https://www.tripwire.com/state-of-security/security-data-protection/amazon-discloses-security-incident-involving-customers-email-addresses/ 72 https://www.theverge.com/2020/7/23/21335638/tesla-rivian-lawsuit-confidential-information-trade-secrets
18
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
19
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
El cibercrim evoluciona, s’adapta a la nova normalitat i se centra en els atacs que donen més beneficis
20
InformeInforme de tendències de tendències de ciberseguretat de ciberseguretat 2020 -- LaLa novanova normalitatnormalitat cibernèticacibernètica
Baròmetre
La pandèmia ha comportat canvis importants en El ciberespionatge, una amenaça i un negoci l’activitat digital de la ciutadania, les empreses i Aproximadament un de cada deu incidents de l’administració pública, i també en el cibercrim. Les ciberseguretat té el ciberespionatge com a motivació, vulnerabilitats del món digital i la millora constant en però la xifra es duplica quan es tracta d’incidents en les capacitats dels ciberdelinqüents hi han contribuït. què hi ha una fuita de dades. De fet, el 38% dels L’ús dels atacs de phishing es multiplica grups criminals té darrere un estat i estan centrats en durant la pandèmia atacs amb el ciberespionatge com a motivació. Tot indica que, en el context de crisi econòmica, la xifra Des de l’inici de la pandèmia, el cibercrim ha d’atacs que busquen perjudicar estratègicament o aprofitat la situació per realitzar campanyes de econòmica l’adversari seguirà augmentant. phishing amb l’ús de la crisi sanitària com a reclam. Des del març, les temàtiques úniques dels correus de phishing s’han triplicat i les pàgines web de phishing pràcticament s’han quadruplicat.
Il·lustració 8. Estadístiques del ciberespionatge75.
Els rescats de ransomware evolucionen Els operadors de ransomware dirigeixen els seus atacs contra empreses cada cop més grans, les quals poden fer front a rescats més cars. L’increment de la dimensió de les empreses atacades durant el 2020 ha estat pràcticament exponencial.
Il·lustració 6. Evolució de les temàtiques dels correus i de les webs de phishing durant el 202073. Canvien els hàbits i les dades a la venda Arran de la pandèmia, alguns serveis en línia estan més sol·licitats: oci, aprenentatge, alimentació, salut, relaxació, etc. Un informe destaca com les credencials en venda d’aquests serveis a la dark web han crescut. De fet, un 72% de les 25 credencials 76 més cotitzades són de nous serveis respecte del Il·lustració 9. Mitjana de treballadors de les empreses atacades . 2019. El cibercrim es mou on hi ha diners. Durant el 4t trimestre de l’any, el pagament de rescats ha baixat. Després d’anys d’escalada continuada, els ciberatacants s’han vist obligats a abaixar l’import mitjà dels rescats per primer cop.
* €
€
* € € € € * €
€ *servei que figurava € entre les credencials € * més valuoses del 2019 € € € Il·lustració 7. Preu i servei al qual corresponen les 10 credencials més € *servei que figurava 76 valuoses durant la pandèmia74. € Il·lustració 10. Evolució dels preus dels rescats . * entre les credencials € € més valuoses del 2019 € € 73 € https://www.privacyaffairs.com/dark-web-price* -index-2020/ € 74 https://blog.malwarebytes.com/cybercrime/2020/09/report*servei-pandemic que figurava-caused -significant - shift-in-buyer-appetite-in-the-dark-web/ entre les credencials € 75 https://www.enisa.europa.eu/publications/enisa -threat-landscape-2020-cyber-espionage€ més valuoses del 2019 € 76 https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020 * € € *servei que figurava entre les credencials € * més valuoses del 2019 €
€ 21 *servei que figurava entre les credencials més valuoses del 2019
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
El cibercrim evoluciona, s’adapta a la nova normalitat i se centra en els atacs que donen més beneficis El cibercrim s’ha adaptat a la nova normalitat a la recerca del màxim benefici. Se centra en robar les credencials dels nous serveis més utilitzats i en els atacs de BEC als treballadors a distància. El ransomware es dirigeix a empreses més grans, al sector sanitari i a l’educatiu (especialment durant l’inici del curs), i inclous nous factors d’extorsió. Creixen els actors cibercriminals i els comportaments delictius a la xarxa.
El cibercrim està en permanent evolució a la recerca del màxim benefici. Les El Business Email credencials robades corresponen a serveis molt demandats durant la nova Compromise (BEC) és un normalitat. Han crescut els atacs de BEC per explotar el distanciament dels atac d’enginyeria social en teletreballadors i robar imports més elevats. El ransomware es dirigeix a què se suplanta el correu empreses cada cop més grans per cobrar rescats més elevats, i mostra una electrònic d’un professional especial predilecció pel sector sanitari i l’inici del curs escolar al sector per desviar una transferència educatiu. Els ciberatacants introdueixen la doble i, fins i tot, la triple extorsió econòmica en favor de en els atacs de ransomware per incrementar la pressió sobre la víctima perquè l’atacant a través d’un faci el pagament del rescat. Actualment, el cibercrim funciona com una autèntica engany. empresa lucrativa que disposa d’un ampli catàleg de serveis a la xarxa. Ha Habitualment pot augmentat el nombre de ciberdelinqüents amb finalitats lucratives, però també suplantar-se: una persona el nombre de criminals, extorsionadors i assetjadors que han traslladat la amb poder de decisió dins seva activitat delictiva a la xarxa. d’una organització per requerir una transferència a Aspectes clau que cal tenir en compte: un empleat de finances; un proveïdor per informar d’un El cibercrim té en el punt de mira els nous hàbits en línia de la canvi de compte de ciutadania i les vulnerabilitats dels teletreballadors, amb atacs facturació; un treballador per d’enginyeria social (phishing, vishing i BEC). sol·licitar una modificació de la domiciliació de la nòmina. El cibercrim utilitza el ransomware per atacar la dependència digital de les grans organitzacions, el sector sanitari i el sector educatiu a l’inici del curs acadèmic. El phishing o pesca és una El cibercrim es professionalitza i perfecciona les tècniques per pràctica fraudulenta maximitzar els beneficis econòmics: el ransomware incorpora la consistent a simular una doble i la triple extorsió. identitat falsa, sovint per suplantació de la identitat Els cibercriminals es comporten com autèntiques empreses que d'una persona o un organisme ofereixen un ampli catàleg de serveis i productes: malware, determinats, sigui per correu infeccions, kits de phishing, dades, atacs de DDoS i electrònic, en una trucada o ciberespionatge. per altres mitjans. L’objectiu és el d’incitar les possibles Els comportaments delictius del món físic es traslladen al món víctimes a fer una acció que virtual a causa del distanciament social i els nous hàbits en línia. permeti robar-los dades personals, habitualment credencials o números de El cibercrim té en el punt de mira els nous hàbits en línia targeta de crèdit, infectar-los amb programari maliciós o de la ciutadania i les vulnerabilitats dels teletreballadors, fer-los caure en algun tipus de amb atacs d’enginyeria social (phishing, vishing i BEC) frau.El Business Email Compromise (BEC) és un El cibercrim està en permanent renovació. Busca aconseguir el màxim atac d’enginyeria social en benefici econòmic amb l’ús de qualsevol vulnerabilitat que aparegui arran d’un què se suplanta el correu electrònic d’un professional per desviar una transferència econòmica en favor de 22 l’atacant a través d’un engany.
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
canvi social o tecnològic. I, precisament, la pandèmia de la covid-19 ha suposat El phishing o pesca és una un autèntic aparador de canvis ple d’oportunitats per al cibercrim. pràctica fraudulenta consistent a simular una A partir dels confinaments i les restriccions de mobilitat, s’ha incrementat l’ús identitat falsa, sovint per d’Internet per part de la ciutadania. En aquest context, des de la declaració de suplantació de la identitat la pandèmia, l’activitat de phishing s’ha disparat a la recerca de víctimes entre d'una persona o un organisme els internautes: la diversitat de temàtiques dels correus de phishing s’ha determinats, sigui per correu triplicat i el nombre de webs de phishing pràcticament s’ha quadruplicat electrònic, en una trucada o (veure il·lustració 6)77. A més, els webs de phishing i les credencials robades per altres mitjans. L’objectiu han canviat d’acord amb els hàbits de consum de la ciutadania. Un informe és el d’incitar les possibles destaca com les credencials més cotitzades corresponen als serveis més víctimes a fer una acció que demandats durant la nova normalitat: productes de consum a domicili, exercici permeti robar-los dades 78 personals, habitualment i classes en línia, etc. (veure il·lustració 7) . credencials o números de A partir de les mesures de confinament establertes pels governs de nombrosos targeta de crèdit, infectar-los estats, hi va haver una repuntada extraordinària del treball a distància que amb programari maliciós o fer-los caure en algun tipus de ràpidament va posar els teletreballadors en el punt de mira dels frau. ciberatacants. Amb la nova normalitat, ha canviat l’aproximació. Ara, els ciberdelinqüents han deixat de fer ús dels correus de phishing amb temàtica covid-19 per al robatori de credencials: han disminuït un 82% durant la segona El vishing, o pesca per veu, és meitat de l’any. Cal recordar que durant el primer semestre de 2020 va ser un Eluna vishing tècnica, o de pesca pesca per en veu, què és s'intenta enganyar les víctimes mètode d’atac preferent. Els remitents suplantats tornen a ser els de sempre: una tècnica de pesca en què 79 s'intentatelefònicament, enganyar mitjançant les víctimes la DHL, Dropbox, Amazon, iCloud, LinkedIn, etc. . telefònicament,veu per IP. mitjançant la En canvi, els atacs de BEC, que suplanten un treballador, un alt càrrec o un veu per IP. (font: Termcat) proveïdor, per sol·licitar un pagament o la redirecció d’una factura, han crescut El phishing o pesca és una un 155% durant el tercer trimestre80. El fet que els teletreballadors estiguin pràctica fraudulenta allunyats físicament afegeix punts febles en els procediments de pagament Un atac de suport tècnic és un Elconsistent vishing, ao simularpesca per una veu, és de factures que els atacants busquen aprofitar amb atacs de BEC. Proofpoint identitatintent d'engany falsa, sovint que es per realitza unahabitualment tècnica de per pesca telèfon, en quètot i ha indicat que bloqueja l’esfereïdora xifra de més de 15.000 missatges de BEC suplantació de la identitat 81 s'intentaque també enganyar pot ser perles víctimescorreu al dia . Addicionalment, la quantitat mitjana robada per atac ha passat de telefònicament,d'una persona o mitjançant un organisme la 39.000 a 61.000 euros, i segueix creixent82. Es pot destacar el cas del grup determinats,electrònic, SMS sigui o percom correu un fals veuavís perde seguretatIP. mentre criminal Cosmic Lynx, especialitzat en atacar grans multinacionals i que ha electrònic, en una trucada o arribat a obtenir més d’un milió d’euros en un sol atac83. Tenint en compte pernavegues altres mitjansper Internet..(font: L’objectiu Termcat) l’elevat rendiment econòmic que es pot obtenir en un atac de BEC i que implica ésL'estafador el d’incitar es les fa passarpossibles per un tècnic, habitualment de un baix cost i poca sofisticació tecnològica, es preveu que més bandes criminals víctimes a fer una acció que 84 permetiMicrosoft robar (Windows-los dades encara és s’hi dedicaran en el futur . personals,el sistema operatiuhabitualment més estès, Els teletreballadors també són objectiu del phishing telefònic (vishing). credencialsper aquest motiu o números també de es targetaconegut de amb crèdit el nom, infectar d’ «estafa-los L’atacant aprofita que el treballador es troba al seu domicili per fer-se passar ambMicrosoft»), programari amb maliciós el pretext o per un treballador de la mateixa organització o per algun tipus de suport ferd'alertar-los caure la víctima en algun que tipus el seu de tècnic. Amb algun pretext enganyós, sol·licita dades personals i/o bancàries, frau.equip té un problema que cal insta la víctima a realitzar alguna aportació econòmica i, fins i tot, a instal·lar resoldre amb urgència. algun programa maliciós en el seu dispositiu. El mes d’agost, l’OSI va publicar L’objectiu és obtenir dades una alerta sobre una campanya de vishing a Espanya; s’oferia a la víctima personals, bancàries, la suport tècnic, participar en un sorteig, un xec regal o un suposat premi85. Amb subscripció a un servei, un una operativa similar, cal destacar el clàssic atac de suport tècnic de Microsoft. pagament o instar a Amb aquesta tècnica, als EUA, un cibercriminal va robar més de 28.000 euros descarregar un programari a la víctima; posteriorment, va poder recuperar-los gràcies a la ràpida acció informàtic que resulta ser policial86. maliciós.
Un 77atac https://docs.apwg.org/reports/apwg_trends_report_q4_2020.pdf de suport tècnic és un intent78 https://blog.malwarebytes.com/cybercrime/2020/09/report d'engany que es realitza -pandemic-caused-significant-shift-in-buyer-appetite-in-the-dark-web/ 79 https://abnormalsecurity.com/blog/announcements/q3-bec-report/ habitualment80 https://abnormalsecurity.com/blog/announcements/q3 per telèfon, tot i -bec-report/ que81 també https://www.proofpoint.com/us/blog/threat pot ser per correu -protection/understanding-bec-scams-gift-card-scams electrònic,82 https://docs.apwg.org/reports/apwg_trends_report_q4_2020.pdf SMS o com un fals avís83 dehttps://www.databreachtoday.com/bec seguretat mentre -scam-losses-surge-as-number-attacks-diminish-a-14955 84 https://www.databreachtoday.com/bec-scam-losses-surge-as-number-attacks-diminish-a-14955 navegues85 https://www.osi.es/es/actualidad/avisos/2020/08/intento per Internet. -de-fraude-traves-de-llamadas-telefonicas-vishing L'estafador86 https://www es .straitstimes.com/singapore/techfa passar per un -support-scam-led-to-transfer-of-35k-out-of-bank-account tècnic, habitualment de Microsoft (Windows encara és el sistema operatiu més estès, per aquest motiu també es 23 conegut amb el nom d’ «estafa Microsoft»), amb el pretext d'alertar la víctima que el seu
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
El cibercrim utilitza el ransomware per atacar la dependència digital en les grans organitzacions, el sector sanitari i el sector educatiu a l’inici del curs acadèmic
Les organitzacions viuen un procés de transformació digital per garantir la seva operativa i fer-la més eficient. Però aquest fet les fa dependre més dels sistemes d’informació. El cibercrim demostra que se centra en aquesta dependència a través d’atacs de ransomware.
Des de la represa de l’activitat econòmica, a final del primer semestre de 2020, el nombre d’incidents de ransomware ha seguit una tendència a l’alça (veure il·lustració 1), amb la particularitat que ha impactat en organitzacions cada vegada més grans: la mida mitjana de les empreses víctimes de ransomware a final de 2020 és de 234 treballadors, pràcticament un increment del 400% des de l’inici de l’any (veure il·lustració 9). Això ha possibilitat l’exigència de rescats cada vegada més elevats: a final de 2020, el cost mitjà del rescat superava els 126.000 euros, un increment del 60%87 (veure il·lustració 10). Un exemple de les elevades pretensions dels rescats és l’atac dut a terme pel grup DoppelPaymer a la companyia Foxconn (Taiwan), en el qual es van exigir més de 30 milions d’euros després d’haver xifrat 1.200 servidors88.
En qualsevol cas, els atacs de ransomware han evidenciat una especial predilecció pel sector sanitari. Els dos darrers mesos de 2020, a l’Estat espanyol es va identificar un augment del 100% dels atacs de ransomware al sector sanitari, per sobre de l’increment del 45% al món i el 67% a Europa89. El motiu d’aquests increments és que, en el context de crisi sanitària, el sector sanitari és especialment essencial i, en cas d’un incident de ransomware, les probabilitats que es vegi forçat a realitzar el pagament d’un rescat són més altes. I és que les conseqüències de l’aturada dels sistemes d’informació d’un centre hospitalari poden ser molt greus, especialment ara, i fins i tot poden provocar la pèrdua de vides humanes. Un exemple paradigmàtic és el de l’Hospital Universitari de Düsseldorf (Alemanya), el qual va ser víctima del ransomware DoppelPaymer. Els seus sistemes van quedar greument afectats i les cirurgies aturades; una pacient que va haver de ser traslladada de centre va morir durant el trajecte. Els ciberatacants, tan bon punt se’n van assabentar, van mirar de rectificar i, fins i tot, van cedir les claus de desxifratge, però ja era massa tard. Tot i que, més endavant, la policia va argumentar que l’estat de salut de la pacient era tan crític que la mort no va tenir una relació directa amb el ciberatac, aquest incident és un autèntic toc d’atenció90.
Com ja va passar el 201991, l’inici del curs als centres del sector educatiu també ha estat objectiu dels atacs de ransomware. El motiu és que coincideix amb el moment en què els centres acadèmics necessiten més els sistemes informàtics per a la preparació del nou curs: exàmens d’ingrés, matrícules, preparació de les classes, etc. El Regne Unit n’ha estat especialment afectat: el mes d’agost, l’atac al proveïdor de programari de gestió Blackbaud va impactar en més d’una dotzena d’universitats i el setembre van ser les universitats de Northumbria i Newcastle les afectades92.
87 https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020 88 https://hotforsecurity.bitdefender.com/blog/foxconn-hit-with-record-breaking-34-million-ransom-demand-after-cyber-attack-24797.html 89 https://www.infosecurity-magazine.com/news/ransomware-drives-45-increase/ 90 https://www.wired.co.uk/article/ransomware-hospital-death-germany 91 https://ciberseguretat.gencat.cat/web/.content/PDF/InformeTendenciesT42019.pdf 92 https://www.itgovernance.co.uk/blog/newcastle-university-becomes-latest-ransomware-victim-as-education-sector-fails-to-heed-warnings
24
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
El cibercrim es professionalitza i perfecciona les seves El RaaS o Ransomware-as-a- tècniques per maximitzar els beneficis econòmics: el Service és un model de negoci basat en la subscripció ransomware incorpora la doble i la triple extorsió en el qual permet a l'usuari disposar d'eines per executar Els atacs de ransomware són un clar exemple d’evolució i especialització. atacs de ransomware. Precisament, el model Ransomware-as-a-Service (RaaS), avui plenament consolidat, és un model de negoci que promou l’especialització dels atacs: mentre uns grups criminals se centren en l’elaboració del codi del ransomware, El RaaScòpia deo Ransomware seguretat, o -as-a- altres grups afiliats s’encarreguen de la infecció de les víctimes a canvi d’un backupService, ésés unla còpiamodel d'un de fitxer percentatge del rescat. Així, s’estima que l’operador del ransomware Ryuk ha onegoci un conjunt basat deen fitxers,la subscripció recaptat 123 milions d’euros des de l’inici de l’activitat, dels quals el 70-80% 93 generalmenten el qual permet actualitzada a l'usuari podrien haver anat a parar a mans dels seus afiliats . Una altra mostra del periòdicament,disposar d'eines que pe rpermet executar poder econòmic que generen els atacs de ransomware és el cas del grup REvil restauraratacs de ransomware.les dades originals (o també anomenat Sodinokibi), el qual va dipositar uns 820.000 euros en un en cas de pèrdua. fòrum rus on s’oferien diferents serveis com a prova de la seva capacitat de (font: Termcat) captar nous afiliats94. Addicionalment, el cibercrim ha vist com més víctimes de ransomware La doble extorsió es tracta renuncien a fer el pagament del rescat, perquè disposen de còpies de El còpia de seguretat, o d’un ciberatac que consisteix seguretat per poder restaurar els seus sistemes o, simplement, perquè backup, és la còpia d'un fitxer en extorsionar la víctima amb n’assumeixen la pèrdua. Els cibercriminals no s’han quedat de braços plegats i o un conjunt de fitxers, la combinació de dues generalment actualitzada han demostrat la sofisticació de les seves tècniques d’atac amb la incorporació pràctiques: un atac de periòdicament, que permet de la doble extorsió: el robatori d’informació, per una banda, i l’amenaça de ransomware acompanyat del restaurar les dades originals filtrar-la com a mecanisme de coacció addicional al ransomware, per l’altra. Si robatori de dades amb en cas de pèrdua. bé el grup Maze va ser pioner en fer-ne ús, altres l’han imitat: a final de 2020, el l’amenaça de la seva 70% dels atacs de ransomware fan ús de la doble extorsió95. Un cas que publicació si no (font:es fa Termcatel ) podria haver servit d’inspiració pel cibercrim va ser l’atac de ransomware a la pagament d’un rescat. Universitat de Utah (EUA) que, tot i que havia recuperat la informació a partir de les còpies de seguretat, va optar per pagar un rescat de 374.000 euros per evitar que les dades es publiquessin96. La dobletriple extorsió extorsió eess tracta tracta d’un ciberatac que consisteix Malgrat l’especialització i la sofisticació dels atacs, els rescats han tocat sostre eenn extorsionarextorsionar la víctima amb i, fins i tot, el preu mitjà ha baixat durant el 4t trimestre de 2020 (veure la combinació de tres la combinació de dues il·lustració 10). Com a conseqüència d’això, alguns grups criminals han optat pràctiques, les dues pràctiques: un atac de per incorporar nous elements d’extorsió per forçar que se segueixin pagant corresponents a la doble ransomware acompanyat del rescats elevats. De fet, durant aquest trimestre, REvil, un dels grups més robatoriextorsió demés dades un atac amb de DDoS. prolífics (més de 80 milions d’euros de benefici, aproximadament), va anunciar l’amenaça de la seva la futura incorporació d’atacs de DDoS per forçar la víctima a negociar97. publicació si no es fa el Aquesta pràctica ja la duia a terme l‘operador del ransomware Sunscrypt98. Així pagament d’un rescat. doncs, es pot començar a parlar de la triple extorsió: ransomware, robatori de LaEl Crimetriple extorsió-as-a-Service es tracta és un dades i DDoS. És una ofensiva completa contra la disponibilitat de la part d’unmodel ciberatac de provisió que de consisteix serveis a interna i externa de la xarxa, i contra la integritat i la confidencialitat de les entercers extorsionar per a la la comissió víctima ambde laciberdelictes combinació. de tres dades de les organitzacions. pràctiques, les dues corresponents a la doble Elextorsió Crime més-as-a un-Service atac de és un Els cibercriminals es comporten com autèntiques modelDDoS. de provisió de serveis a empreses que ofereixen un ampli catàleg de serveis i tercers per a la comissió de ciberdelictes. productes: malware, infeccions, kits de phishing, dades, atacs de DDoS i ciberespionatge
Cada vegada són més els actors cibercriminals que ofereixen tot tipus d’activitats malicioses a través del model Crime-as-a-Service. La crisi
93 https://www.zdnet.com/article/ryuk-gang-estimated-to-have-made-more-than-150-million-from-ransomware-attacks/ 94 https://www.bleepingcomputer.com/news/security/revil-ransomware-deposits-1-million-in-hacker-recruitment-drive/ 95 https://www.coveware.com/blog/ransomware-marketplace-report-q4-2020 96 https://attheu.utah.edu/facultystaff/university-of-utah-update-on-data-security-incident/ 97 https://www.bleepingcomputer.com/news/security/revil-ransomware-gang-claims-over-100-million-profit-in-a-year/ 98 https://www.bleepingcomputer.com/news/security/ransomware-gangs-add-ddos-attacks-to-their-extortion-arsenal/
25
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
econòmica originada per la pandèmia facilita que el nombre de ciberatacants Una variant és una peça de professionals hagi augmentat, motivats pels beneficis econòmics que poden programari maliciós creada a obtenir. Segons Google, aquest tipus de serveis creixen en països com ara la partir de la modificació del Xina, l’Iran o l’Índia99. El seu catàleg de serveis és extremadament variat. codi d’una família específica i coneguda. La dark web, especialment en fòrums on l’accés és restringit, constitueix l’espai on el cibercrim ofereix aquests serveis i intercanvia coneixements. S’hi poden trobar especialistes per a tot tipus d’activitats il·lícites: elaboració de codi UnaUn dropper variant és ununa troià peça que de ha maliciós, venda de dades personals, bancàries o credencials d’accés, atacs de programariestat dissenyat maliciós per forçar creada la a DDoS, etc.100 partirinstal·lació de la modificaciód'un altre del codiprogramari d’una família maliciós, específica codi dels i Adquirir un programari maliciós és senzill i ràpid. Si bé hi ha opcions coneguda.qual ja està inclòs en el gratuïtes que poden resultar poc confiables, a partir de 40 euros es pot adquirir mateix troià o cal ésser un programari maliciós amb actualitzacions gratuïtes i servei de suport descarregat d'Internet, a un tècnic101. En altres casos, el que fa el ciberdelinqüent és compartir el codi font sistema d’informació sense del programari maliciós per facilitar l’elaboració de noves variants. Un clar ser detectat i sense el exemple és el cas del troià bancari Cerberus per a Android: el codi font es va consentiment de l'usuari. fer públic l’agost de 2020 de manera gratuïta pels membres d’un fòrum102; el mes de setembre ja apareixien campanyes de difusió amb noves versions103.
Un downloader és un pUnrograma dropper dissenyat és un troià per que a ha facilitarestat dissenyat la descàrrega, per forçar la legítimainstal·lació o no, d'un de altre fitxers d'Internetprogramari i lamaliciós, possible codi dels posteriorqual ja està instal·lació inclòs en de el programari.mateix troià o cal ésser descarregat d'Internet, a un sistema d’informació sense ser detectat i sense el Unconsentiment backdoordownloader, ode ésporta l'usuari un del. darrere,programa és dissenyat un mecanisme per a Il·lustració 11. Preus d’adquisició de diferents tipus de programaris maliciosos104. quefacilitar fa possible la descàrrega, l'accés a una aplicaciólegítima o evitant no, de les fitxers restriccionsd'Internet i la i lespossible mesures de Altres grups cibercriminals ofereixen els seus serveis per a la difusió de seguretat,posterior instal·lació sempre que de se'n programari maliciós. Per fer-ho, disposen d’un parc de sistemes prèviament coneguiprogramari. l'existència i el compromesos amb malwares de tipus dropper, downloader, backdoor o RAT, funcionament. que es lloguen per injectar el programari maliciós en l’equip de la víctima. Els preus varien en funció de la localització de les víctimes i l’eficàcia de la (font: Termcat) instal·lació en els equips. A Europa, per exemple, el cost per a 1.000 instal·lacions de malware té un cost mitjà d’entre 250 i 5.000 euros. El cost Un troià d’accés remot, o no és excessiu, especialment si es té en compte que la infecció de 1.000 UnRAT backdoor, és un programari, o porta del dispositius pot comportar el robatori de dades personals, credencials i targetes darrere,maliciós ésque un infecta mecanisme la víctima de crèdit. Alhora, aquestes poden reportar desenes de milers d’euros de quefent -fase possible passar per l'accés un a una benefici. Probablement, el cas més significatiu és el grup criminal que utilitza el aplicacióprogramari evitant lícit i lesque estableix malware Emotet i que, durant el 2020, ha estat especialment prolífic restriccions i les mesures de una connexió amb el distribuint el ransomware Ryuk i altres troians com Trickbot, Qakbot i Zloader. seguretat,ciberdelinqüent, sempre al quequal se'n li conegui l'existència i el Emotet ha estat àmpliament difós via phishing: el mes de desembre es van atorga el control sobre el identificar 100.000 correus maliciosos diaris105. funcionament.dispositiu de la víctima. (font: Termcat) Un troià d’accés remot, o RAT, és un programari maliciós que infecta la víctima fent-se passar per un programari lícit i que estableix una99 connexióhttps://www.cxotoday.com/news amb el -analysis/hire-a-hacker-contractual-hacking-on-a-rise-in-india/ ciberdelinqüent,100 https://www.welivesecurity.com/la al qual li -es/2020/04/17/dark-web-productos-servicios-ofrecen-cibercriminales/ 101 https://cybernews.com/security/buying-your-own-malware-has-never-been-easier/ atorga102 https://www.buguroo.com/en/labs/cerberus el control sobre el -source-code-released dispositiu103 https://www.zdnet.com/article/cerberus de la víctima. -banking-trojan-source-code-released-for-free-to-cyberattackers/ 104 https://cybernews.com/security/buying-your-own-malware-has-never-been-easier/ 105 https://securityaffairs.co/wordpress/112650/malware/december-emotet-redacted.html
26
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Il·lustració 12. Preus per a la difusió de programari maliciós entre 1.000 dispositius a Europa, en funció de la qualitat i el tipus de dispositiu infectat106.
El cibercrim també ofereix kits de phishing que permeten realitzar campanyes per robar credencials de manera automatitzada. Inclouen la web suplantada, amb logotips i formulari d’accés per introduir l’usuari i la contrasenya, el sistema per a l’emmagatzematge de les dades robades i, sovint, mesures sofisticades per dificultar la detecció de la web com a lloc de pesca de credencials107. El juliol de 2020 es va detectar la venda de 1.300 kits de phishing a la dark web per 20 euros cada un. És probable que no fossin de gaire qualitat, ja que el preu mitjà és de 248 euros i el dels de més gran qualitat, 719108.
Les bases de dades amb usuaris i contrasenyes són un altre producte habitual del mercat negre. Un informe de Digital Shadows calcula que hi ha més de 15.000 milions de credencials en circulació, de les quals 5.000 milions són úniques. Hom creu que la procedència és, com a mínim, de 100.000 fuites de dades diferents i inclouen credencials de tota mena: professionals, bancàries, comptes d’streaming, etc. El preu de venda mitjà per credencial és de 12,61 euros109.
No obstant això, amb l’increment del teletreball, també ha crescut l’oferta de credencials d’accés a organitzacions, especialment per a connexions RDP, Citrix i VPN, especialment si tenen privilegis d’administració. Si bé el seu preu mitjà és de 2.571 euros, en el cas dels accessos RDP, el preu ha caigut fins a 13-21 euros els darrers mesos. Clarament, no és un bon senyal, ja que denota l’elevat nombre de credencials RDP a la venda com a conseqüència de la proliferació del teletreball i les males mesures de ciberseguretat existents110.
Els serveis de booter que ofereixen atacs de DDoS són un altre servei habitual Un booter és un servei que a la dark web. Contractar-los és extremadament accessible: amb 8 euros n’hi ofereix atacs de denegació de ha prou per encarregar un atac de 50.000 Rps (peticions per segon) contra un servei distribuïts, amb objectiu. El preu varia en funció de la durada de l’atac i és més alt si les webs l'objectiu d'afectar el objectiu estan protegides. La contractació és tan simple que, de fet, bona part funcionament correcte de dels atacs que s’han produït a escoles i universitats durant el segon semestre servidors web i xarxes. de 2020 han estat promoguts per actors sense cap experiència, com els (font: Termcat) mateixos estudiants, amb l’objectiu d’interrompre les classes virtuals o sabotejar un examen.
Il·lustració 13. Preus per a la realització d’atacs DDoS entre 10.000 i 50.000 Rps, en funció de la durada111.
106 https://www.welivesecurity.com/la-es/2020/04/17/dark-web-productos-servicios-ofrecen-cibercriminales/ 107 https://botechfpi.com/phishing-kit-el-back-end-del-phishing 108 https://www.bleepingcomputer.com/news/security/over-1-300-phishing-kits-for-sale-on-hacker-forum/ 109 https://resources.digitalshadows.com/whitepapers-and-reports/from-exposure-to-takeover 110 https://www.zdnet.com/article/the-price-of-stolen-remote-login-passwords-is-dropping-thats-a-bad-sign/ 111 https://www.welivesecurity.com/la-es/2020/04/17/dark-web-productos-servicios-ofrecen-cibercriminales/
27
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
La crisi econòmica global i la competència entre els estats del món també ha impactat en el catàleg de serveis del cibercrim. Així, actualment s’ofereixen ciberatacs amb motivació geopolítica, com el robatori de propietat intel·lectual o d’informació estratègica, la creació de campanyes de desinformació per causar un dany reputacional, etc. De fet, ENISA calcula que el 38% dels actors cibercriminals estan connectats amb nacions-estat i que aquesta quantitat continua creixent112. Com a exemple, el mes de juny s’identificava el grup de ciberdelinqüents mercenaris DarkBasin, el qual es dedica a atacar funcionaris, polítics, periodistes, advocats i ONG a partir de 28.000 llocs web de pesca de credencials. S’especula que podria estar relacionat amb l’empresa legítima índia de ciberintel·ligència BellTroX InfoTech Services113.
Els comportaments delictius del món físic es traslladen al món virtual a causa del distanciament social i els nous hàbits en línia
La delinqüència es produeix quan els delinqüents motivats i els objectius adequats convergeixen, tant en l’espai com en el temps, en absència d’un guardià eficaç (Cohen and Felson, 1979)114. Precisament, això ha succeït a Internet durant la pandèmia. Els criminals, extorsionadors i assetjadors han perdut el contacte físic amb les víctimes i han hagut de traslladar la seva activitat criminal a la xarxa. Al mateix temps, el distanciament social ha afectat milions de persones arreu del món, que han traslladat bona part de la seva activitat social del món físic al món virtual. Tot això, en un espai com Internet, on les mesures de control són escasses i el “guardià eficaç” gairebé absent.
Aquesta realitat és especialment preocupant si es té en compte que més de 1.500 milions de menors a tot el món reben classes a distància i socialitzen a través d’Internet115. A més, durant el confinament, els joves han estat més hores fent ús de xarxes socials i d’Internet, en molts casos sense la supervisió d’un adult. Això els ha exposat encara més a amenaces com el ciberassetjament, la sextorsió o l’explotació infantil.
Així doncs, un dels aspectes més negatius d’aquesta nova realitat ha estat l’augment de casos d’abús sexual de menors en línia. Atès que els delinqüents tenen menys oportunitats en el camps de l'explotació sexual infantil física, l’activitat a la xarxa ha sorgit com una alternativa viable per seguir amb la seva activitat criminal. L’abús sexual contra els infants i la distribució de material La sextorsió, o extorsió d’explotació sexual ha augmentat un 50% durant la pandèmia a Europa116. A sexual, és el xantatge que es l’Estat espanyol, al principi de la pandèmia, la detecció de vídeos pedòfils va fa a una persona sota créixer un 507%117: només tres dies després que el govern espanyol declarés l'amenaça de fer públics a la l'estat d'alarma es van registrar unes 17.000 descàrregues de material amb xarxa imatges o vídeos pornografia infantil i, una setmana més tard, 21.000 descàrregues més118. El comprometedors, on apareix problema és tan freqüent que els organismes encarregats de fer complir la llei despullada o fent alguna de la UE no disposen de suficients recursos per investigar cada cas119. activitat sexual. Durant el segon semestre de 2020 també s’ha detectat un augment dels casos (font: Termcat) de sextorsió, sobretot amb afectació cap als adolescents. Durant l’inici de la campanya escolar, l’FBI ja va alertar de l’augment de casos de sextorsió a
Augmenta112 https://www.enisa.europa.eu/publications/enisa la -threat-landscape-2020-cyber-espionage 113 https://www.genbeta.com/seguridad/asi-dark-basin-uno-grupos-hackers-alquiler-a-que-recurren-grandes-multinacionales-citizen-lab tensió114 https://en.wikipedia.org/wiki/Routine_activity_theory#:~:text=Routine%20activity%20theory%20is%20a,States%20between%201947%20a nd%201974 115 https://www.unicef.org/es/comunicados-prensa/ninos-corren-mayor-riesgo-sufrir-danos-en-linea-durante-pandemia-COVID-19 116 https://www.elperiodico.com/es/internacional/20210216/sexual-infantil-red-pandemias-abuso-11524023 geopolítica:117 https://www.welivesecurity.com/la -es/2020/05/20/grooming-crece-durante-cuarentena/ 118 https://www.bbc.com/mundo/noticias-internacional-52385436 ciberespio119 https://www.infosecuritynatg-magazine.com/news/rise-in-livestreaming-of-child/ e, campanyes de 28 desinformació i
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
causa de l’increment de l’ús de noves tecnologies entre els menors d’edat i de l’educació en línia. Els extorsionadors fan servir les xarxes socials per establir contacte i es fan passar per adolescents per guanyar-se la confiança i poder intercanviar informació i imatges personals amb la víctima. Per exemple, el mes d’octubre, un home de 25 anys va ser acusat de fer-se passar per un jove de 15 anys i extorquir 112 noies de diferents nacionalitats amb l’amenaça de publicar les converses privades si les noies no feien un vídeo amb contingut sexual120.
Però no han estat els únics tipus d’incidents que han augmentat a causa dels confinaments i la distancia social. També s’ha detectat un augment del ciberassetjament i casos de frau amb segrest virtual121. Els segrestos virtuals consisteixen en fer creure la víctima que algú del seu entorn ha estat segrestat El malware, o programari per demanar un rescat. Les restriccions de mobilitat i el distanciament maliciós, és un programari social actual poden dificultar el contacte entre persones i són un facilitador concebut específicament per a d’aquest tipus d’engany. prendre el control d'un sistema informàtic, interferir en el seu funcionament normal, desestabilitzar-lo o danyar-lo. Recomanacions
(font: Termcat) Per tal de fer front als serveis que ofereix el cibercrim, com el phishing, les infeccions de malware, el ransomware, els atacs de DDoS i el ciberespionatge, es recomana de seguir els consells següents:
Els usuaris han d’ignorar els correus electrònics amb remitent desconegut, en especial quan sol·licitin credencials o incloguin un fitxer adjunt. Els usuaris no han de revelar credencials a tercers, ni de forma escrita (en el cas del phising) o oral (en el cas del vishing). Els usuaris i les organitzacions han de vetllar per mantenir actualitzats els sistemes operatius, el programari i els sistemes de seguretat. Les organitzacions han d’actualitzat en tot moment la plataforma de protecció anti-malware o antivirus amb els darrers patrons de codi maliciós. Les organitzacions han de realitzar campanyes de conscienciació contra el phishing entre els empleats en general, i contra el BEC, especialment entre els treballadors d’àrees de compres i finances. Les organitzacions han de mantenir actualitzats i d’avaluar la seguretat dels accessos remots RDP i VPN. Els administradors de sistemes, i si pot ser la resta d’usuaris, han de disposar d’accessos amb doble factor d’autenticació. Les organitzacions han de protegir i custodiar les còpies de seguretat fent-les fora de línia i assegurant que estiguin lliures de malware. Les organitzacions han d’emmagatzemar les dades personals i la informació confidencial de valor amb xifratge segur per evitar que un intrús pugui robar-les en text pla. Les organitzacions han de disposar de proteccions anti-DDoS per als seus recursos essencials visibles des d’Internet.
120 https://www.abc.net.au/news/2020-10-23/wa-man-accused-of-sextortion-of-112-girls-in-various-countries/12806078 121 https://www.bbc.com/news/world-australia-53549933
29
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Fets rellevants
Es detecta una escalada dels enfrontaments S’identifica la venda de kits de phishing a la entre grups criminals que competeixen per dark web, els quals permeten al comprador prendre el control de routers i altres dispositius realitzar campanyes de manera vulnerables. L’objectiu: controlar el nombre de automatitzada. El juliol es van detectar més bots més gran possible per oferir serveis de 1.300 kits que suplantaven marques il·lícits com ara la realització d’atacs DDoS122. reconegudes: PayPal, Dropbox, Amazon, El grup de cibercriminals REvil va dipositar OneDrive, Office 365, Outlook, Gmail, Spotify, Netflix, Apple, Facebook o LinkedIn, entre les 820.000 euros en un fòrum rus de 128 ciberdelinqüents com a mostra del seu més destacades . potencial econòmic amb l’objectiu d’atraure Un informe de Digital Shadows exposa com hi nous col·laboradors123. ha més de 15.000 milions de credencials a la El gegant energètic Italià Enel va viure un atac venda a la dark web, provinents de ransomware per segon cop en dos mesos. d’aproximadament 100.000 fuites de dades La companyia, amb 61 milions de clients a tot que inclouen credencials bancàries, comptes d’streaming (vídeo en temps real) o, fins i tot, el món, va patit un atac de doble extorsió en el 129 qual el grup de cibercriminals Netwalker, accessos a sistemes d’organitzacions . demanava 11 milions d’euros per recuperar La companyia d’anàlisi d’intel·ligència les dades i per no publicar-les124. cibernètica DataViper va experimentar una Maze, un dels principals grups de fuita de dades; la informació robada es va Ransomware-as-a-Service de l'últim any i oferir a la dark web. El responsable de l’atac, impulsors de l’estratègia de la doble extorsió, anomenat NightLion, podria haver realitzat va comunicar que deixava d’operar. Es calcula l’atac com a revenja per un article escrit sobre que els afiliats de Maze s’han mogut cap a un les seves activitats malicioses. En aquest altre operador anomenat Egregor, sentit, sembla que ja havia estat responsable del robatori de més de 8.200 bases dades a responsable d’atacs durant l’octubre contra 130 Ubisoft (videojocs) i Barnes and Noble altres companyies . (llibres), entre d’altres125. Des del 21 de juliol, un ciberdelinqüent Un informe de Nuspire destaca com el conegut com a ShinyHunters ha alimentat un ciberdelinqüent conegut com TrueFighter ven fòrum de cibercriminals amb bases de dades activament comptes compromesos de RDP a que inclouen més de 386 milions de registres la dark web. Segons indiquen, utilitzava la d'usuaris que, segons afirmen, van ser robats tecnologia Shodan per identificar els RDP de 18 empreses. Les dades es van compartir vulnerables126. perquè tothom se’n pogués beneficiar, segons indicava el grup maliciós131. Troben 85.000 bases de dades SQL a la venda a la dark web per 550 dòlars cada una. Alguns traficants venen vacunes de Pfizer a la Els cibercriminals robaven les bases de dades dark web. Poc abans que el Regne Unit i es posaven en contacte amb els propietaris comencés la distribució de la vacuna contra la per demanar un rescat. En cas de no pagar, la covid-19, hi havia molts venedors a la dark base de dades es posava a subhasta. Els web que oferien la vacuna per més de 1.000 euros. No es donen detalls de com distribuïen cibercriminals utilitzaven un procés 132 automatitzat, de manera que no feien ni la vacuna als seus clients . l’anàlisi de les dades robades127.
122 https://www.wired.com/story/ddos-for-hire-fueling-new-wave-attacks/ 123 https://www.bleepingcomputer.com/news/security/revil-ransomware-deposits-1-million-in-hacker-recruitment-drive/ 124 https://blog.segu-info.com.ar/2020/10/enel-group-nuevamente-afectado-por.html 125 https://www.computerweekly.com/news/252491480/Maze-ransomware-shuts-down-with-bizarre-announcement 126 https://healthitsecurity.com/news/healthcare-key-target-of-hacker-selling-access-to-compromised-rdp 127 https://www.zdnet.com/article/hackers-are-selling-more-than-85000-sql-databases-on-a-dark-web-portal/ 128 https://www.bleepingcomputer.com/news/security/over-1-300-phishing-kits-for-sale-on-hacker-forum/ 129 https://seguridad.cicese.mx/alerta/1277/15-mil-millones-de-credenciales-disponibles-en-foros-clandestinos 130 https://krebsonsecurity.com/2020/07/breached-data-indexer-data-viper-hacked/ 131 https://www.bleepingcomputer.com/news/security/hacker-leaks-386-million-user-records-from-18-companies-for-free/ 132 https://securityaffairs.co/wordpress/111980/deep-web/pfizer-covid19-vaccine-darknet
30
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
31
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Augmenta la tensió geopolítica: ciberespionatge, campanyes de desinformació i ciberatacs a la cadena de subministrament de les vacunes
32
InformeInforme de tendències de tendències de ciberseguretat de ciberseguretat 2020 -- LaLa novanova normalitatnormalitat cibernèticacibernètica
Baròmetre
El ciberespionatge patrocinat per estats-nació Es duplica el nombre de països generadors augmenta al mateix temps que ho fan les tensions de desinformació geopolítiques. Durant la pandèmia, s’han succeït un Les campanyes de desinformació són cada cop més seguit d’acusacions creuades entre les agències presents en el context mundial. Durant el 2020 s’ha d'espionatge per ciberatacs que busquen obtenir detectat un augment de pràcticament el 100% en el informació de recerca sobre el tractament i la vacuna nombre de països que, a través de companyies de la covid-19. privades, promouen campanyes de desinformació interessades. Els incidents motivats pel ciberespionatge creixen un 50% durant la pandèmia Durant el 2020, la carrera entre els estats del món per obtenir un tractament o una vacuna contra la covid-19 ha incentivat un increment dels casos d’espionatge cibernètic. Els ciberatacs motivats pel ciberespionatge passen de ser el 9,6% el mes d’agost a l’11,4%, al setembre de 2020. Són la segona motivació, per darrere del cibercrim.
Il·lustració 166. Països que utilitzen empreses privades per dur a terme campanyes de desinformació interessades135.
Increment de la interacció amb notícies falses a les xarxes socials La inestabilitat geopolítica causada per la crisi de la covid-19 ha motivat l’increment de la difusió de missatges interessats, i sovint falsos. Les xarxes Il·lustració 14. Motivació rere els ciberatacs, el setembre 2020133. socials són l’espai on es visualitza la desinformació i la difusió de notícies falses interessades. Durant el A partir del primer trimestre de 2020, amb la 2020, s’ha constatat un augment de més del 100% declaració de la pandèmia, el incidents de de les interaccions dels usuaris de Facebook amb ciberespionatge publicats als mitjans han crescut publicacions d’informació enganyosa. més d’un 50%.
1.800 M
1.600 M
1.400 M
1.200 M
1.000 M
800 M
600 M
Il·lustració 15. Incidents vinculats al ciberespionatge publicats134. Il·lustració 177. Interacció dels usuaris de Facebook amb publicacions 136 enganyoses .
133 https://www.hackmageddon.com/2020/11/11/september-2020-cyber-attacks-statistics/ 134 https://www.hackmageddon.com/2021/01/13/2020-cyber-attacks-statistics/ 135 https://demtech.oii.ox.ac.uk/wp-content/uploads/sites/127/2021/01/CyberTroop-Report20-FINALv.3.pdf 136 https://www.gmfus.org/blog/2020/10/12/new-study-digital-new-deal-finds-engagement-deceptive-outlets-higher-facebook-today
33
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Augmenta la tensió geopolítica: ciberespionatge, campanyes de desinformació i ciberatacs a la cadena de subministrament de les vacunes L’interès per la vacuna de la covid-19 ha alimentat el ciberespionatge perpetrat per grups de cibercriminals suportats per estats i la cadena de distribució també ha esdevingut objectiu de ciberatacs. Així mateix, s’han intensificat les campanyes de desinformació sobre la covid-19 i les vacunes. En aquest context, les agències d’intel·ligència s’han dotat de capacitats defensives, i també ofensives.
La carrera per aconseguir la vacuna de la covid-19 ha provocat un increment dels casos de ciberespionatge perpetrats per grups de cibercriminals patrocinats per estats. En aquest nou escenari, les agències d’intel·ligència han optat per reforçar les seves capacitats defensives, però també ofensives. A més, l’anunci dels processos de vacunació ha situat la cadena de distribució de les vacunes en el punt de mira dels ciberatacants. A més a més, les infraestructures crítiques també han estat objectiu de ciberatacs.
Les campanyes de desinformació s’han intensificat per aprofitar l’augment de l’ús d’Internet i de les xarxes socials. Les principals temàtiques d’aquestes campanyes de notícies falses han estat la covid-19 i la vacuna. Novament, al darrere hi ha grups patrocinats per estats. Però no és l’únic vector. Les eleccions a la presidència dels EUA també han estat amenaçades per la irrupció de les notícies falses. La preocupació per la influència que la desinformació té sobre la població ha fet que governs i gegants digitals hagin desplegat noves mesures per aturar-la.
Aquests són alguns aspectes clau:
L’escalada de ciberespionatge relacionat amb la cerca d'informació sobre la covid-19 atia el conflicte geopolític entre estats. Els estats capaciten les agències d’intel·ligència estatals i fan ús de sancions per fer front al conflicte cibernètic global. La cadena de subministrament de les vacunes, sota el setge del cibercrim i dels ciberdelinqüents patrocinats per estats. Les campanyes de desinformació s’han intensificat durant la campanya de vacunació i les eleccions presidencials als EUA. La desinformació preocupa: els gegants digitals segueixen la lluita i s’aproven procediments polèmics per combatre-les.
L’escalada de ciberespionatge relacionat amb la cerca d'informació sobre la covid-19 atia el conflicte geopolític entre estats
A mesura que ha avançat la pandèmia també ho ha fet la carrera entre els estats del món per obtenir un tractament o una vacuna contra la covid-19. En aquesta situació, la voluntat de disposar d’informació confidencial sobre la covid-19 o conèixer el posicionament estratègic d’un adversari geopolític ha provocat un increment dels casos de ciberespionatge entre els estats del món.
34
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Abans de la pandèmia, el ciberespionatge ja mantenia una tendència a l’alça, El ciberespionatge és la amb un increment del 440% entre l’any 2009 i el 2018137. Una tendència que pràctica d’espionatge que es s’ha accentuat a partir amb la pandèmia de la covid-19, amb un increment del duu a terme mitjançant l'ús de 50% en només un any. El motiu d’aquest increment són els ciberatacs tecnologies de la informació i perpetrats per grups de cibercriminals patrocinats per estats (veure la comunicació. il·lustració 15). Microsoft afirma que la major part provenen de Rússia, la Xina, l’Iran o Corea del Nord, i que els EUA en són l’objectiu principal, amb un (font: Termcat) 70% dels atacs138.
Es constaten dos blocs de països que emeten acusacions creuades de Una APT (Advanced ciberespionatge. Essencialment són els EUA, el Regne Unit i Israel, d’una Persistent Threat) o amenaça banda, i la Xina, Rússia i l’Iran, de l’altra banda. No s’han d’entendre com dos persistent avançada, és un blocs homogenis internament, perquè cada país defensa els seus propis atac a gran escala, subreptici, interessos, sinó com dos blocs amb interessos contraposats. sofisticat, continu i dirigit a una entitat específica. Els missatges acusadors que aquests estats han emès durant el 2020 són nombrosos. A mitjan juliol, el Regne Unit, els EUA i el Canadà acusaven (font: Termcat) Rússia d’estar al darrere de ciberatacs per obtenir els resultats de la vacuna contra la covid-19139. El motiu és que el conegut grup Cozy Bear, presumptament vinculat a la intel·ligència russa, havia estat detectat en atacs contra el sector acadèmic i els centres farmacèutics de recerca140. Però altres comunicats de la CISA (Cybersecurity and Infrastructure Security Agency), l’FBI dels EUA i el NCSC (National Cyber Security Centre) del Regne Unit també han alertat de ciberatacs de grups APT, que apunten a xarxes governamentals, infraestructures crítiques, proveïdors d'atenció mèdica, empreses farmacèutiques, institucions de recerca i organitzacions involucrades en la resposta a la covid-19141. L’Estat espanyol no n’ha quedat exempt i el CNI també va alertar que es detectaven atacs de ciberespionatge contra laboratoris d’investigació sobre la covid-19142.
A tot això, els ciberatacs no s’han limitat als centres de recerca sobre la covid-19. Les infraestructures crítiques també n’han estat objectiu. L’Iran va viure un ciberatac a una central nuclear, que va provocar un incendi. Segons indica un mitjà israelià, l’atac va ser orquestrat per Israel i tenia molta similitud a l’atac del 2014 conegut com a Stuxnet, realitzat pels EUA i Israel143. Anàlogament, Israel va viure atacs, suposadament per part de l’Iran, contra les seves instal·lacions de subministrament d’aigua144 i a 28 estacions de tren. És la conseqüència d’un intercanvi d’atacs continuat entre ambdós països145.
Els estats capaciten les agències d’intel·ligència estatals i fan ús de sancions per fer front al conflicte cibernètic global La covid-19 ha suposat un dels canvis de paradigma més accelerats dels darrers temps per als estats. En aquest escenari, les agències d’intel·ligència estatals necessiten informació per analitzar la situació i tracten d’esbrinar què fa la resta146. Per aquest motiu, reforcen les seves activitats cibernètiques i ja no es parla només de ciberdefensa, sinó que també es parla de ciberatac.
137 https://www.privacyaffairs.com/geopolitical-attacks/ 138 https://www.bankinfosecurity.com/microsoft-hacking-groups-shift-to-new-targets-a-15087 139 https://www.washingtonpost.com/world/uk-us-and-canada-report-russian-cyberspies-may-be-trying-to-steal-vaccine-research/2020/07/16/d7c0dbd6- c765-11ea-a825-8722004e4150_story.html 140 https://www.newindianexpress.com/world/2020/jul/17/us-uk-and-canada-accuse-russia-of-hacking-covid-19-vaccine-trials-2170985.html 141 https://healthitsecurity.com/news/fbi-cisa-warn-apt-hackers-chaining-vulnerabilities-in-cyberattacks# 142 https://www.lavanguardia.com/politica/20200929/483759728569/cni-espera-mas-ciberataques-a-investigadores-de-la-covid-y-a-redes- domesticas.html 143 https://www.forbes.com/sites/kateoflahertyuk/2020/07/04/stuxnet-2-iran-hints-nuclear-site-explosion-could-be-a-cyberattack/#6c9860525ad2 144 https://www.theyeshivaworld.com/news/headlines-breaking-stories/1883495/cyber-warfare-two-of-israels-water-facilities-hit-again-by-cyberattacks.html 145 https://www.aa.com.tr/en/middle-east/iran-group-claim-attacks-on-28-israeli-railway-stations/1927997 146 https://www.nytimes.com/es/2020/09/09/espanol/estados-unidos/vacuna-coronavirus-espionaje.html
35
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
En aquesta línia, els EUA han donat més llibertat a la seva Agència d’Intel·ligència (CIA) per realitzar ciberatacs sense necessitat de ser aprovats per la Casa Blanca147. Encara més, han fet passes per incorporar la intel·ligència artificial i no haver de dependre de la mà humana per contrarestar i respondre als atacs. El projecte IKE de l’Agència de Projectes de Recerca Avançada de Defensa (DARPA) treballa en un sistema que decideix quan i com atacar un objectiu de manera ràpida, eficient i eficaç148.
Al Regne Unit, el general Sir Patrick Sanders, del comandament estratègic, va afirmar que l’exèrcit té la capacitat ofensiva per "degradar, interrompre i destruir" la infraestructura crítica dels seus enemics en un possible conflicte cibernètic149.
Pel que fa a la tensió entre els EUA i Rússia, el govern nord-americà ha començat a protegir les universitats i les empreses dedicades a la recerca sobre la covid-19. Ha instat el servei d'intel·ligència de l'OTAN (Organització del Tractat de l’Atlàntic Nord), habitualment dedicat a supervisar el moviment dels tancs russos i les cèl·lules terroristes, a vigilar les maniobres del govern rus per robar les dades de recerca sobre la vacuna150.
Mentre els estats s’han dotat de capacitats per al ciberatac, també despleguen la seva capacitat sancionadora per mirar de frenar l’embat dels grups de ciberdelinqüents. Als EUA, el Departament del Tresor va sancionar 40 persones i la Rana Intelligence Computer Company de l’Iran com a responsables dels atacs contra més de 30 països a tot el món151. En una altra acció, també als EUA, fins i tot dues persones xineses van ser detingudes per espionatge industrial i d’investigació sobre la covid-19152. En una mateixa línia, la UE ha fixat les primeres sancions a ciutadans i a tres empreses xineses, coreanes i russes, acusades de perpetrar ciberatacs. Les sancions inclouen la prohibició de viatjar i la congelació de béns153. Rússia, per la seva banda, ha amenaçat de respondre simètricament a aquestes sancions que, segons el seu parer, són injustificades154. En qualsevol cas, davant d’aquesta espiral de confrontació, el president rus, Vladímir Putin, va proposar als EUA una treva al ciberespai155.
La cadena de subministrament de les vacunes, sota el setge del cibercrim i dels ciberdelinqüents patrocinats per estats
Amb l’anunci dels processos de vacunació, les agències governamentals, farmacèutiques i empreses responsables de la distribució de les vacunes han esdevingut un objectiu clar de ciberatacs. Els grups cibercriminals han detectat que les cadenes de subministrament i de logística de la vacuna són un element estratègic clau per a l’arribada massiva de les vacunes a la població mundial en els pròxims mesos156. Per tant, un atac de ransomware que amenaci la distribució de la vacuna pot ser una bona estratègia per obtenir el pagament d’un rescat. També pot ser una font d’informació valuosa per vendre a qui faci l’oferta més gran.
147 https://news.yahoo.com/secret-trump-order-gives-cia-more-powers-to-launch-cyberattacks-090015219.html 148 https://www.ibtimes.sg/pentagon-doesnt-need-human-hackers-any-more-develops-new-ai-tool-cyber-warfare-51498 149 https://www.theguardian.com/technology/2020/sep/25/britain-has-offensive-cyberwar-capability-top-general-admits 150 https://www.infobae.com/america/the-new-york-times/2020/09/07/la-lucha-entre-espias-detras-de-la-carrera-para-la-vacuna-contra-el-covid-19/ 151 https://ge.usembassy.gov/u-s-targets-iranian-regimes-global-cyberattacks/ 152 https://www.nytimes.com/2020/07/21/us/politics/china-hacking-coronavirus-vaccine.html 153 https://www.consilium.europa.eu/en/press/press-releases/2020/07/30/eu-imposes-the-first-ever-sanctions-against-cyber-attacks/ 154 https://eutoday.net/news/business-economy/2020/russia-cyber-attack-sanctions 155 https://www.nytimes.com/2020/09/25/world/europe/russia-cyber-security-meddling.html 156 https://www.cadenadesuministro.es/noticias/amenazas-fisicas-y-ciberneticas-para-la-cadena-de-suministro-de-la-vacuna-para-la-covid-19/
36
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
De fet, la cadena de subministrament de les vacunes té el valor d’una infraestructura crítica, com la xarxa elèctrica o el sistema de control del trànsit aeri. Així, el servei de vacunació és un servei essencial i cal que se supervisi adequadament en termes de ciberseguretat. Aquesta supervisió ha d’incloure laboratoris, farmacèutiques, empreses de logística i transport, centres sanitaris, etc. En definitiva, tots aquells elements que hi participen157. I té una complexitat afegida, ja que s’ha d’evitar que cap ciberatac pugui alterar la cadena de fred necessària per distribuir les vacunes que han de ser conservades a baixa temperatura158.
IBM Security X-Force va identificar una campanya de phishing contra la cadena de subministrament de la vacuna de la covid-19 difosa a sis països. Els correus es feien passar per Haier Biomedical (Xina), una empresa productora de dispositius per mantenir la cadena del fred de la vacuna, i contenien fitxers adjunts maliciosos que sol·licitaven credencials per robar-les. Si bé no es va poder determinar l’autoria de la campanya, la precisió per identificar els executius i les organitzacions clau en la distribució de la vacuna de cada país feia pensar en el segell d’un grup de ciberdelinqüents patrocinats per un estat159.
El ransomware també ha estat protagonista en els atacs a la cadena de subministrament. Precisament, l’empresa farmacèutica Fareva (França), una empresa encarregada de l’empaquetatge de vacunes de la covid-19, va ser víctima d’un atac de ransomware que va afectar la producció. Els atacants demanaven un rescat per tal de no fer pública la informació compromesa160.
El desembre de 2020, va destacar l’anunci de l’Agència Europea del Medicament (EMA, en anglès), que va confirmar que havia estat víctima d’un ciberatac. Els ciberdelinqüents havien accedit a un nombre limitat de documents que podrien incloure informació relacionada amb la vacuna desenvolupada per BioNTech i Pfizer. Curiosament, els ciberdelinqüents van filtrar la informació robada, però abans la van manipular amb la intenció de generar desinformació i incentivar la desconfiança cap a les vacunes utilitzades a la UE i les seves institucions. Novament, aquest fet feia pensar que l’atac podia haver estat realitzat per grups de ciberdelinqüents patrocinats per algun estat, amb alguna rivalitat geopolítica amb la UE161.
Les campanyes de desinformació s’han intensificat durant la campanya de vacunació i les eleccions presidencials als EUA
Amb l’augment de l’ús d’Internet i de les xarxes socials durant la pandèmia, les campanyes de desinformació s’han intensificat, ja que arriben a un nombre més gran de persones. Una dada significativa és que durant el 2020, les interaccions amb pàgines enganyoses a Facebook ha tingut un creixement del 100%162 (veure il·lustració 17).
Una de les principals temàtiques d’aquestes campanyes de desinformació ha estat la covid-19. Les informacions han inundat les xarxes i han transformat la percepció sobre la procedència, el tractament o la transmissió de la malaltia. Durant els últims mesos, diverses instal·lacions de 5G han patit atacs
157 https://www.darkreading.com/vulnerabilities---threats/defending-the-covid-19-vaccine-supply-chain/a/d-id/1339797 158 https://www.sciencedirect.com/science/article/abs/pii/S1361372320301226?dgcid=rss_sd_all 159 https://www.cranfield.ac.uk/alumni/communications/alumni-news/2020/1217-cyber-attacks-and-precision-targeting-of-the-vaccine-supply-chain 160 https://www.databreaches.net/french-pharmaceutical-firm-involved-in-packaging-anti-covid-vaccines-hit-by-cyberattack/ 161 https://www.infosecurity-magazine.com/news/leaked-covid19-vaccine-data/ 162 https://www.businessinsider.in/tech/news/misinformation-on-facebook-is-three-times-more-popular-than-it-was-during-the-2016-election-according-to- new-research/articleshow/78630505.cms
37
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
incendiaris per culpa de la falsa teoria de la conspiració que afirma que la nova xarxa de telefonia mòbil és la responsable de la propagació del coronavirus. Un exemple va ser el cas de l’incendi provocat en una antena 5G a Yorkshire (Regne Unit)163. El darrer trimestre de 2020 s’ha accentuat la proliferació de notícies falses relacionades amb la vacuna de la covid-19. És probable que algunes de les campanyes de desinformació estiguessin dirigides per estats rivals que pretenguessin desacreditar una vacuna per crear por i desconfiança entre la ciutadania. De fet, es calcula que el nombre d’estats que utilitzen empreses privades per difondre notícies falses s’ha doblat el 2020 (veure figura 16). I és que ser el primer a demostrar l’èxit de la vacuna comporta un gran prestigi i avantatges tant econòmics com estratègics. I a més a més, el més greu és que la desinformació funciona: una enquesta a ciutadans del Regne Unit va constatar que el nombre de ciutadans que es posicionen en contra de la vacuna creix164. També és el cas de la publicació a Ucraïna d’un fals informe, difós a Facebook, on s’afirmava que cinc ciutadans ucraïnesos havien mort Les notícies falses, fake news després de rebre un assaig de vacuna produïda als EUA165. o desinformació són històries En una altra òrbita fora de la pandèmia, les eleccions a la presidència dels falses que semblen notícies, EUA han estat un altre esdeveniment amenaçat per la irrupció de les notícies difoses a través de xarxes falses. Cal recordar que, en les eleccions de 2016, a partir de les quals Donald socials, portals de notícies o Trump fou president, ja es va especular que la desinformació va ser determinant altres mitjans, creades amb en el curs del procés electoral. Així doncs, aquest 2020 s’ha repetit una situació l’objectiu d’enganyar o induir a un estat de desinformació similar i, durant el tercer trimestre, s’han detectat diverses campanyes de deliberada a la ciutadania. La notícies falses que intentaven influir els votants. Des de la Xina, Rússia i l’Iran motivació pot ser econòmica, es van dur a terme campanyes contra els candidats Donald Trump i Joe 166 ja que la seva publicació Biden . Eren campanyes professionals i difícils de detectar. El juliol, una esdevé un reclam de clics per campanya de desinformació feia ús de la intel·ligència artificial per crear als visitants d’una web. És perfils falsos de periodistes i fer més creïbles les notícies falses. Fins i tot van més greu quan la motivació ser replicades per diversos mitjans de comunicació que, tot i rebre és obtenir un rendiment l’advertiment que la informació era falsa, van mantenir-la perquè coincidia amb polític o un posicionament la seva línia editorial167. Una autèntica obra d’enginyeria social. estratègic privilegiat, a través de la inducció a errors, la manipulació de decisions La desinformació preocupa: els gegants digitals personals, el desprestigi o segueixen la lluita i s’aproven procediments polèmics per l’enaltiment de persones o combatre-les entitats. L’augment de la desinformació i la influència que té sobre la població han fet que les notícies falses siguin una de les preocupacions més grans de la ciutadania. En una enquesta, el 71% dels ciutadans considera el cibercrim com un dels motius més importants de preocupació i, en aquesta categoria, un 57% considera les notícies falses com la principal inquietud168. Les notícies falses també preocupen molt les institucions governamentals. De fet, el 5 de novembre de 2020, l’Estat espanyol va aprovar un controvertit procediment contra les informacions falses. El govern espanyol va establir la monitorització permanent a la recerca de notícies falses; la resposta serà política en cas que l’autoria d'una campanya de desinformació es pugui atribuir a un Estat. La controvèrsia d’aquest tipus de procediments rau en la dificultat d’establir uns criteris objectius per classificar la desinformació i perquè, en un país democràtic, si no s’utilitza adequadament, pot derivar en una eina de censura169,170.
163 https://www.dailymail.co.uk/news/article-8719659/Arsonists-destroy-5G-mast-amid-conspiracy-theory-high-speed-network-blame-coronavirus.html 164 https://www.euronews.com/2020/08/05/misinformation-on-social-media-is-a-growing-threat-to-coronavirus-vaccine-efforts 165 https://apnews.com/article/ap-top-news-understanding-the-outbreak-technology-media-social-media-28db6199af343432d0e19b29c9738cc4 166 https://www.bbc.com/news/world-us-canada-54110457 167 https://www.thedailybeast.com/right-wing-media-outlets-duped-by-a-middle-east-propaganda-campaign 168 https://www.infosecurity-magazine.com/news/fake-news-named-biggest-global/ 169 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-13663 170 https://elpais.com/espana/2020-11-05/espana-dara-una-respuesta-politica-a-las-campanas-de-desinformacion-de-estados-extranjeros.html
38
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Atès que les xarxes socials han estat una de les eines més utilitzades per fer Un deepfakes o hipertrucatge, arribar les notícies falses a l’opinió pública, els gegants digitals han seguit és una tècnica de manipulació desplegant noves mesures per aturar-ne la propagació. En relació a la audiovisual que, mitjançant covid-19, Facebook i Instagram van eliminar 7 milions de publicacions amb algoritmes d'intel·ligència informacions manipulades sobre la pandèmia. I això només entre l’abril i el juny artificial, permet crear de 2020171. Pel que fa a les eleccions presidencials dels EUA, Google i muntatges de vídeo molt Twitter, per exemple, van bloquejar notícies falses per evitar que els realistes que contenen ciutadans es veiessin manipulats durant les eleccions de 2020172, mentre que situacions fictícies, sovint amb TikTok prohibia els deepfakes i qualsevol informació manipulada que pogués l'objectiu de desinformar o confondre els electors173. Així mateix, es va crear la Election Integrity difamar. Partnership, una aliança entre universitats, agències governamentals, xarxes (font: Termcat) socials, etc., amb l’objectiu de combatre les notícies falses en les eleccions174.
Recomanacions
Per tal de fer front al ciberespionatge, els atacs a la cadena de subministrament i evitar difondre noticies falses, es recomana de seguir aquests consells:
Els usuaris han d’evitar reenviar o difondre informació que no s’hagi valorat críticament. Fer un retuit o reenviar un missatge de WhatsApp sense haver validat la informació pot contribuir a la difusió de fake news o notícies enganyoses. Les organitzacions han d’aplicar un enfocament de confiança zero a l’estratègia de seguretat. Garantir que els usuaris només tenen accés a les dades que són essencials per al seu treball. Les organitzacions han d’avaluar els riscos dels serveis proporcionats per tercers, desplegar mesures correctives i realitzar auditories o comprovacions. Les organitzacions han de definir i posar a prova els plans de resposta a incidents per enfortir la preparació i la disposició de l’organització a l’hora de respondre. Les organitzacions han de realitzar capacitacions educatives periòdiques sobre seguretat del correu electrònic perquè els empleats estiguin alerta sobre les tàctiques de phishing, i introduir les millors pràctiques d’utilització del correu electrònic.
171 https://www.washingtonpost.com/technology/2020/08/11/facebook-covid-misinformation-takedowns/ 172 https://www.bbc.com/news/business-54100002 173 https://www.engadget.com/tiktok-bans-deepfakes-misinformation-173314446.html 174 https://www.oodaloop.com/briefs/2020/08/14/new-coalition-wants-to-help-in-fight-against-election-misinformation/
39
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Fets rellevants
Els científics que treballaven en la vacuna a la El grup de ciberdelinqüents Ghostwriter va farmacèutica AstraZeneca van ser objecte comprometre els sistemes d'administració de d’atacs de phishing a través de WhatsApp i contingut (CMS) de diverses agències de Linkedin, amb falses ofertes de feina. Pretenien notícies i va reemplaçar els articles legítims per instal·lar infostealers i spywares mitjançant distribuir notícies falses. Van arribar atribuir documents adjunts. L’atac no va tenir falsament que 21 soldats canadencs de l’ONU conseqüències. S’assenyala Corea del Nord, destinats a Letònia havien estat infectats amb tot i que un portaveu nord-coreà va rebutjar les la covid-19180. acusacions175. La Xina bloqueja el trànsit HTTPS que utilitza el El grup ciberdelinqüent Lazarus Group (Corea protocol de seguretat TLS 1.3, malgrat que és del Nord) va comprometre els servidors d’una la versió més actual en el tràfic d’Internet, ja que farmacèutica i del Ministeri de Salut dels EUA dificulta el seguiment dels continguts per robar documentació sobre la vacuna. Es accessibles per als ciutadans181. desconeix el vector d’atac a la farmacèutica, tot Europa ha imposat les primeres sancions per i que es va detectar l’ús del malware wAgent. ciberatacs contra sis individus i tres entitats En el cas del ministeri, l’atac es va realitzar a russes pels ciberatacs contra l’OPCW través d’un proveïdor de software de Corea del (Organisation for the Prohibition of Chemical Sud, amb l’infostealer BookCode176. Weapons) i les campanyes de Wannacry, L’Iran i Israel han estat protagonistes d’un NotPetya i l’Operation Cloud Hopper. Les intercanvi de ciberatacs a infraestructures sancions inclouen la prohibició de viatjar i la crítiques. Israel va rebre un ciberatac contra les prohibició a persones i entitats europees de infraestructures d’aigües, el mes de maig. I realitzar transaccions amb els sancionats182. l’Iran acusa Israel d’una explosió derivada d’un El Departament del Tresor dels EUA ha ciberatac en una central nuclear el mes de anunciat que les companyies que paguin o juliol177. negociïn un rescat podran ser sancionades amb El Regne Unit ha desenvolupat una arma multes del govern federal de fins a 20 milions cibernètica ofensiva que podria deixar fora de de dòlars183. servei xarxes elèctriques i altres El Tribunal de Justícia de la UE ha invalidat infraestructures crítiques d’un estat enemic. l'acord del Privacy Shield entre els EUA i la UE. Només l’exèrcit britànic rep al voltant de 1.800 ciberatacs al mes, sense comptabilitzar L'acord garantia que les empreses nord- els atacs a infraestructures civils ni a americanes que acceptessin adherir-se a les institucions financeres178. normes de la UE sobre protecció de dades i privacitat podien rebre dades personals de Un grup de ciberdelinqüents xinesos es va la UE. L’acord ha estat anul·lat perquè el infiltrar a la xarxa del Vaticà, pocs mesos abans sistema legal de vigilància dels EUA no oferia de les converses entre l’Església i el govern xinès sobre la renovació de l’acord provisional suficients garanties a les dades dels ciutadans 184 de control. Aquest control estableix la jerarquia europeus . vaticana en aquest país179.
175 https://www.cybersecurity-insiders.com/cyber-attack-on-astrazeneca-covid-19-vaccine-research 176 https://threatpost.com/lazarus-covid-19-vaccine-maker-espionage/162591/ 177 https://www.forbes.com/sites/kateoflahertyuk/2020/07/04/stuxnet-2-iran-hints-nuclear-site-explosion-could-be-a-cyberattack/ 178 https://www.forces.net/news/british-military-experiences-over-60-cyber-attacks-day 179 https://securityaffairs.co/wordpress/106533/hacking/china-hackers-vatican.html 180 https://cyware.com/news/ghostwriter-uses-nato-related-fake-news-as-an-attack-vector-5a31e192/?web_view=true 181 https://unaaldia.hispasec.com/2020/08/china-esta-bloqueando-el-trafico-https-con-tls-1-3-y-esni.html 182 https://www.consilium.europa.eu/en/press/press-releases/2020/07/30/eu-imposes-the-first-ever-sanctions-against-cyber-attacks/ 183 https://krebsonsecurity.com/2020/10/ransomware-victims-that-pay-up-could-incur-steep-fines-from-uncle-sam/ 184 https://www.csoonline.com/article/3567061/eu-court-invalidates-privacy-shield-data-transfer-agreement.html#tk.rss_all
40
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
41
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Baròmetre d’amenaces
42
Informe de tendències de ciberseguretat - La nova normalitat cibernètica Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Una ciberamenaça és Top 5 de ciberamenaces qualsevol circumstància o esdeveniment que tingui un Tenint en compte el nombre d’incidents que s’han esdevingut impacte potencial negatiu en durant el segon semestre de 2020, a continuació es mostra alguna de les dimensions d’un l’evolució de les cinc ciberamenaces més rellevants i se’n actiu d’informació: destaquen els esdeveniments més significatius. confidencialitat, integritat i/o disponibilitat.
2S 1S vs Ciberamenaces185Una ciberamenaça és 2020 2020 qualsevol circumstància o esdeveniment que tingui un Compromís i/o pèrdua d’informació impacte potencial negatiu en Publicació d’informació o de credencials d’accés alsalguna sistemes de lesd’informació dimensions de d’un 1 1 l’organització que la posen en compromís, així comactiu informació d’informació: de l’organització extraviada que no és recuperable de cap manera. confidencialitat, integritat i/o disponibilitat. Atacs deliberats 2 2 Difusió i/o execució de programari maliciós, accés lògic o físic no autoritzat, o abús de privilegis d'accés sobre els sistemes d'informació. ConclusionsUna ciberamenaça és qualsevol Saturació i/o pèrdua de serveis essencialscircumstància o esdeveniment Impossibilitat d'accedir als sistemes per inhabilitacióque o perquètingui unhan impacte arribat a la 3 3 màxima capacitat de processament, de manera quepotencial s’impedeix negatiu el correcte en alguna funcionament o es provoca l’aturada dels sistemesde informàtics les dimensions de l’organització. d’un actiu d’informació: confidencialitat, integritat i/o disponibilitat. Coacció, extorsió o corrupció 4 4 Persuasió il·legítima, intimidació o suborn per obligar una víctima a cometre accions il·lícites o delictives contra els actius d'informació. Una ciberamenaça és qualsevol circumstància o esdeveniment que tingui un Informació errònia o corrupta impacte potencial negatiu en 5 6 Informació errònia o corrupta que implica que el contingutalguna lògicde les estigui dimensions organitzat d’un d’una manera no apropiada, faltin dades o no siguiactiu vàlid. d’informació: confidencialitat, integritat i/o disponibilitat. Puja Baixa Es manté
Una ciberamenaça és qualsevol circumstància o esdeveniment que tingui un impacte potencial negatiu en alguna de les dimensions d’un actiu d’informació: confidencialitat, integritat i/o disponibilitat.
Una ciberamenaça és qualsevol circumstància o esdeveniment que tingui un impacte potencial negatiu en alguna de les dimensions d’un actiu d’informació: confidencialitat, integritat i/o disponibilitat.
Una 185 Catàleg d’amenaces de l’Agència de Ciberseguretat de Catalunya. Conclusions ciberamenaça és qualsevol circumstància o esdeveniment 43 que tingui un impacte potencial negatiu en alguna de les dimensions d’un actiu
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
1. Compromís i/o pèrdua d’informació La quantitat de fuites d’informació amb dades personals ha baixat sensiblement el darrer semestre, mentre que l’interès per les credencials d’accés corporatives ha augmentat. A més a més, la pràctica dels atacs de ransomware amb doble extorsió es consolida com un model d’èxit per al cibercrim. Aquest fet contribueix a mantenir l’amenaça del compromís i/o pèrdua d’informació en la primera posició.
13/07. Un ciberdelinqüent va posar a la venda per 2.200 euros una base de Un hash o una funció resum dades amb 3,4 milions de registres d'usuaris, robats del web per a la venda és una funció matemàtica d’antiguitats LiveAuctioneers. La BBDD contenia adreces de correu utilitzada amb finalitats de electrònic, noms d'usuari, noms, números de telèfon, adreces, adreces IP, seguretat i verificació que perfils de xarxes socials, contrasenyes en hash i tres milions de contrasenyes s'aplica a un bloc de dades desxifrades186. per a obtenir-ne un altre de longitud fixa, generalment 14/07. Un actor maliciós va accedir als servidors de l’empresa tecnològica més petita, que el representa. Citrix i va obtenir accés a dos milions de registres de clients. El ciberdelinqüent va posar a la venda les dades (noms, companyies, correus, (font: Termcat) telèfons, etc.) per 2,15 bitcoins. És la segona vegada en pocs mesos que es venen dades de clients de Citrix a la dark web187.
L’scrapping és una tècnica 03/08. El juliol, es va descobrir que una base de dades de més de 115.000 que,Un hash mitjançant és una unfunció programa argentins que havien sol·licitat els permisos de mobilitat de la covid-19 va dematemàtica software, utilitzadaconsisteix amb en quedar exposada a Internet sense contrasenya ni control d’accés. Les extreurefinalitats deinformació seguretat de i dades incloïen noms, números de DNI, números d'identificació fiscal i altres pàginesverificació web que de s'aplica manera a un informacions sobre els sol·licitants188. automatitzada,bloc de dades per molts a obtenir cops - 19/08. Gairebé 235 milions de perfils de YouTube, TikTok i Instagram van simulantne un altre la deinteracció longitud d’un fixa, humà.generalment Sovint méss’utilitza petita, per que tal quedar exposats a Internet per una base de dades desprotegida de la deel represent poder creara una base de companyia Social Data. A més, es van trobar tres bases de dades idèntiques. Les dades podien provenir de Deep Social, una companyia ja desapareguda dades amb l’objectiu de que el 2018 va ser vetada per Facebook i Instagram, ja que recopilava dades disposar de continguts per a de xarxes socials mitjançant tècniques de scrapping189. Unles anàlisishash o una de màrqueting,funció resum éscontrolar una funció la imatge matemàtic i visibilitata 14/09. Els usuaris de 70 web de comerç electrònic i de cites per a adults utilitzadad’una marca amb a finalitatsinternet, deetc. van veure la seva informació personal exposada a causa d’un servidor seguretat i verificació que Elasticsearch accessible públicament. En total, es van filtrar 320 milions de
Els'aplica credential a un stuffingbloc de, dadeso registres que corresponien a individus de 100 nacionalitats diferents. El motiu farcimentL’perscrapping a obtenir de és -credencialsne una un tècnicaaltre ,de és va ser un error de configuració en un programari de màrqueting al núvol i que 190 unaque,longitud tècnica mitjançant fixa, d’atac generalment un queprograma utilitza deixava les dades accessibles . més petita, que el representa. credencialsde software, robades, serveix per 04/11. La web Cit0day, que oferia serveis cibercriminals, pocs mesos després normalmentextreure informació adreces(fon t:de deTermcat) que l’FBI la tanqués, va filtrar una base de dades amb un recull de 23.000 correupàgines electrònic, web de manera noms fuites i 13.000 milions de registres en diversos fòrums de pirateria i canals d’usuariautomatitzada, i les corresponents molts cops de Telegram. Els cibercriminals aprofiten els registres personals i les contrasenyes,simulant la interacció per accedir d’un credencials per campanyes de spam i credential stuffing191. sensehumà,Un hash autoritzacióper és tal una de funciópoder als crear comptesunamatemàtica base d’usuari. de utilitzada dades Utilitza amb amb com 14/12. L’empresa E-Land (Corea del Sud), especialitzada en moda, va ser al’objectiufinalitats premissa dede que seguretatdisposar els usuaris di e víctima d’un atac. El grup de ciberdelinqüents Clop va recopilar dades de dos reutilitzencontingutsverificació les queper mateixes as'aplica les anàlisis a un milions de targetes durant un any, mitjançant l’ús d’un malware que havien codeblocntrasenyes màrqueting, de dades en per controlar diferents a obtenir la - instal·lat en els punts de venda de la seva xarxa. Un cop van robar la comptes.imatgene un altre i visibilitat de longitud d’una fixa, marca informació, van desplegar un ransomware que va obligar a tancar 23 de les ageneralment internet, etc. més petita, que botigues192. el representa
186 https://www.bleepingcomputer.com/news/security/liveauctioneers-reports-data-breach-after-user-records-sold-online/ternational=true&r=US 187 L’https://www.securitynewspaper.com/2020/07/14/2scrapping és una tècnica -million-citrix-customer-records-for-sale-in-dark-web-for-2-15-bitcoin/ 188 que,https://www.comparitech.com/blog/information mitjançant un programa -security/argentina-covid-permit-data-leak/ 189 https://hotforsecurity.bitdefender.com/blog/almost-235-million-youtube-tiktok-and-instagram-profiles-exposed-online-by-unsecured-database- 23987.htmlde software, consisteix en 190 extreurehttps://threatpost.com/cloud informació de-leak -320m-dating-site-records/159225/ 191 pàgineshttps://www.zdnet.com/article/23600 web de manera -hacked-databases-have-leaked-from-a-defunct-data-breach-index-site/ 192 automatitzada,https://www.cpomagazine.com/cyber molts cops -security/clop-ransomware-encrypts-e-land-retail-computers-after-stealing-2-million-credit-card-details-using-pos- malware/ simulant la interacció d’un humà. Sovint s’utilitza per tal de poder crear una base de dades amb l’objectiu de 44 disposar de continguts per a les anàlisis de màrqueting, controlar la imatge i visibilitat
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
2. Atacs deliberats Proliferen les campanyes de phishing dirigides als teletreballadors amb l’objectiu de robar-los les credencials d’accés professionals o fer-los caure en una estafa de BEC. S’identifiquen campanyes de difusió de troians bancaris mitjançant apps malicioses, en les quals l’Estat espanyol n’ha estat objectiu. També cal destacar els ciberatacs a la cadena de subministrament, amb les múltiples conseqüències de l’incident de Solarwinds i els atacs a la distribució de la vacuna.
08/07. Poc temps després de la publicació del codi font del troià Cerberus, Un troià és un programa gratuït per membres premium d’un fòrum rus a la dark web, es va detectar una maliciós amb una funció campanya amb una nova versió del malware dirigida a Espanya i l’Amèrica aparentment útil, però amb del Sud. El troià suplantava diferents entitats bancàries en mercats alternatius 193 funcions addicionals amagades d’apps i va ser descarregada més de 10.000 vegades . que faciliten l'accés no 13/08. Es detecta una campanya d’spam a múltiples països com ara autoritzat a un sistema i el fan Espanya, Xile o Portugal per difondre el troià Mekotio. Els correus vulnerable. electrònics simulaven una factura, però un enllaç dirigia a la descàrrega del troià. El malware descarregat té capacitats per instal·lar backdoors, robar (font: Termcat) bitcoins i credencials, i recol·lectar informació del sistema i la seguretat194. 20/08. S’identifica un grup de ciberdelinqüents que desplega atacs de phishing L’spam o correu brossa molt elaborats dirigits a teletreballadors. Practicaven la pesca per telèfon consisteix en un conjunt de (vishing) combinada amb l’ús de webs de pesca de credencials missatges electrònics personalitzades, amb l’objectiu de robar credencials de VPN corporatives. importuns, generalment de Altres grups criminals interessats en obtenir comptes específics contracten caràcter publicitari i sense aquests serveis195. interès per al receptor, que 25/09. L’entitat de joves escoltes Scouts Victoria (Austràlia) va ser objecte s'envien indiscriminadament a d'un atac de phishing que va provocar l’accés no autoritzat a una quantitat un gran nombre d'internautes. significativa de dades personals. Es va comunicar als afectats que la (font: Termcat) informació filtrada contenia noms, adreces de correu electrònic, adreces residencials, llicències de conduir, números de passaport i seguretat social, factures i còpies de signatures manuscrites196. 30/09. La clínica Legacy Commmunity Health (EUA) va notificar que un empleat va ser víctima d’un atac de phishing el 28 de juliol. Encara que no hi havia indicis d'ús indegut, els correus electrònics de la bústia de l’empleat contenien els noms i dades de servei d'alguns pacients amb informació de salut relacionada amb l'atenció mèdica. En alguns casos, el compte de correu electrònic també incloïa els números de la seguretat social197. 11/12. El grup cibercriminal brasiler anomenat Guildma distribueix correus de phishing amb el programari maliciós Ghimob, un troià bancari d'Android dirigit a aplicacions financeres de bancs i empreses tecnològiques del Brasil, Portugal, Alemanya i Angola, entre d’altres. Aquest malware permet als atacants accedir al dispositiu infectat remotament i completar una transacció fraudulenta fent ús del telèfon de la víctima198. 07/12. S’identifica una campanya de phishing que té com a objectiu 200 milions de comptes de Microsoft 365. Els atacants utilitzen tècniques de suplantació per aparentar que són un correu de Microsoft (fan ús del nom [email protected], tot i que l’adreça de correu electrònic d’origen és una altra). El missatge transmet el caràcter d’urgència per fer que les víctimes cliquin ràpidament i siguin dirigides a una pàgina web d’autenticació falsa199.
193 https://blog.avast.com/es/avast-finds-banking-trojan-cerberus-on-google-play-avast 194 https://www.bleepingcomputer.com/news/security/mekotio-banking-trojan-imitates-update-alerts-to-steal-bitcoin/ 195 https://krebsonsecurity.com/2020/08/voice-phishers-targeting-corporate-vpns/ 196 https://www.zdnet.com/article/scouts-victoria-phished-for-data-treasure-trove-including-tfns-and-bank-account-history/ 197 https://www.databreaches.net/houston-area-health-organization-says-patients-targeted-in-phishing-incident/ 198 https://www.itdigitalsecurity.es/endpoint/2020/11/ghimob-un-nuevo-malware-bancario-dirigido-a-usuarios-moviles-de-todo-el-mundo 199 https://www.darkreading.com/threat-intelligence/phishing-campaign-targets-200m-microsoft-365-accounts/d/d-id/1339637
45
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
3. Saturació i/o pèrdua de serveis essencials Els atacs de ransomware han estat, molt clarament, els grans protagonistes de la segona meitat del 2020, i els principals causants de la saturació i la pèrdua dels serveis essencials d’un gran nombre d’organitzacions, privades i públiques. També destaca l’augment dels atacs de DDoS, amb una afectació destacada sobre el sector educatiu.
22/07. Un ciberatac a l'empresa d’analítica de mitjans Nielsen (EUA) va deixar les cadenes de televisió australianes sense dades tècniques sobre les audiències. L’empresa no va poder reprendre l’activitat normal fins a una setmana després200. 22/08. L'autoritat del transport de Pennsilvània (EUA) va experimentar un ciberatac amb un malware que va provocar l’aturada dels sistemes durant diverses setmanes. A causa de l'atac, va perdre la capacitat d'oferir informació en temps real al viatgers de les línies de trens i els treballadors no van poder accedir a informació essencial emmagatzemada en els servidors201. 28/09. La xarxa informàtica de l’empresa de serveis sanitaris Universal Health Services (EUA) va romandre fora de servei durant diversos dies arran d'un atac de ransomware. L’incident va tenir una afectació massiva: els sistemes informàtics de 400 centres hospitalaris van fallar, i van obligar a registrar pacients i etiquetar medicaments a mà202. 28/09. Les filials xineses de la multinacional francesa de transport marítim de contenidors CMA CGM, una de les més grans del món, van ser atacades amb el ransomware Ragnar Locker. L’incident va afectar els seus sistemes i la pàgina web, i va deixar sense servei el sistema de reserves per a clients203. 30/09. L’empresa més gran del món de fabricació i venda de rellotges, Swatch (Suïssa), va viure un atac de ransomware. Segons va informar l’empresa, un cop detectat l’atac, es van veure obligats a aturar tots els sistemes informàtics de la companyia, però diversos processos van quedar afectats204. 07/10. L’Ajuntament de Carcaixent (València) va patir un atac de ransomware que va interrompre la seva activitat habitual. L’atac podria haver tingut l’origen en un atac de phishing205. 20/10. Endesa va viure un atac de ransomware que, tanmateix, va afectar els seus treballadors durant un temps limitat. La companyia va avisar-los perquè no es connectessin a la VPN i va poder controlar l’atac sense afectacions a tercers o filtració de dades206. 22/12. L’Ajuntament de Cambrils va rebre un atac de ransomware que va afectar els seus servidors i va interrompre el funcionament dels serveis i les comunicacions municipals. També es va veure afectada la policia local. La situació va obligar a cancel·lar cites així com també el processos administratius207.
200 https://www.cybersecurity-insiders.com/nielsen-data-center-operations-disrupted-by-a-cyber-attack 201 https://www.govtech.com/public-safety/Malware-Attack-Stifles-Philadelphia-Area-Transit-Agency.html 202 https://news.yahoo.com/major-u-hospital-chain-reportedly-193444657.html 203 https://www.zdnet.com/article/all-four-of-the-worlds-largest-shipping-companies-have-now-been-hit-by-cyber-attacks/ 204 https://www.itnews.com.au/news/swatch-shuts-down-some-technology-systems-after-cyber-attack-554090 205 https://www.lasprovincias.es/ribera-costera/hacker-ataca-sistema-20201007080242-nt.html 206 https://cybersecuritynews.es/endesa-nueva-victima-de-un-ransomware/ 207 http://diaridigital.tarragona21.com/gabinet-de-crisi-a-lajuntament-de-cambrils-pel-ciberatac-duns-hackers-que-haurien-demanat-un-rescat-en-bitcoins/
46
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
4. Coacció, extorsió o corrupció A través dels atacs de ransomware, el robatori d’informació i l’amenaça de fer-la pública i els atacs DDoS, l’extorsió ha esdevingut una ciberamenaça omnipresent durant la segona meitat del 2020. A més, s’identifiquen noves tècniques d’extorsió, com l’amenaça de denunciar un incompliment normatiu a les autoritats i els segrestos virtuals.
02/07. Una nova onada d'atacs contra servidors MongoDB mal configurats esborra les bases de dades amb un missatge d'extorsió en el qual s'amenaça la víctima de fer pública la informació i denunciar-la per incompliment de l’RGPD (per no haver disposat de les proteccions adequades). Segons se’n desprèn, més de 15.000 servidors es poden haver vist afectats208. 08/07. Una campanya de correus fraudulents intenta extorsionar empreses; els fa creure que el lloc web ha estat compromès i que tota la informació de la companyia, inclosa la base de dades de clients, es farà pública en 5 dies si no es duu a terme un pagament en bitcoins209. 27/07. Estudiants xinesos a l’estranger són coaccionats per presentar fotografies lligats i amb els ulls embenats. Posteriorment, la imatge serà utilitzada per extorquir els familiars, tot simulant un segrest. En un cas recent, un pare xinès va pagar dos milions de dòlars pel segrest virtual després de rebre un vídeo de la seva filla resident a Austràlia210. 13/08. S’identifica una campanya d’extorsió que amenaça les víctimes amb atacs de DDoS. Els ciberdelinqüents demanen 0,01 bitcoins i, en cas de no efectuar-se el pagament en un termini de 43 hores, amenacen de realitzar atacs de 400-500 Gbps i augmentar l’import. Les notes de l’extorsió contenen un gran nombre d’errors gramaticals i són difícils d’entendre211. 03/09. L'FBI adverteix les empreses dels EUA que milers d'organitzacions de diversos sectors industrials de tot el món han estat amenaçades amb atacs de DDoS. Les empreses han de pagar en un termini de sis dies quantitats que varien entre els 10 i els 20 bitcoins si volen evitar l’atac212. 25/10. Un centre privat de psicoteràpia de Finlàndia va experimentar accessos no autoritzats a un nombre indeterminat de dades de pacients durant el 2018 i 2019. Els atacants enviaven notes als pacients on se sol·licitava un pagament a canvi de no fer publiques les seves dades. La quantitat a pagar era de 240 euros i pujava a 500 després de 24 hores. El centre també es va veure extorquit amb 450.000 euros213. 26/12. El grup REvil amenaça de revelar imatges dels pacients de The Hospital Group d'Anglaterra, obtingudes en un atac de doble extorsió. El grup clínic, especialitzat en cirurgies plàstiques i de reducció de pes, va confirmar que els seus sistemes havien estat vulnerats i que els ciberdelinqüents havien accedit a les dades personals d’una part dels pacients214.
208 https://www.bleepingcomputer.com/news/security/surge-of-mongodb-ransom-attacks-use-gdpr-as-extortion-leverage/ 209 https://www.incibe.es/protege-tu-empresa/avisos-seguridad/nueva-campana-correos-fraudulentos-intentan-extorsionar-empresas 210 https://www.smh.com.au/national/nsw/chinese-students-targeted-in-elaborate-virtual-kidnapping-scam-20200727-p55fom.html 211 https://hotforsecurity.bitdefender.com/blog/poor-grammar-makes-for-a-poor-extortion-campaign-you-under-attack-pay-us-before-make-drama- 23915.html 212 https://www.bleepingcomputer.com/news/security/fbi-thousands-of-orgs-targeted-by-rdos-extortion-campaign/ 213 https://apnews.com/article/psychotherapy-cabinets-finland-6b27c895df0abd532a4fb000c9d5d517 214 https://securityaffairs.co/wordpress/112637/cyber-crime/the-hospital-group-revil.html
47
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
5. Informació errònia o corrupta Durant el tercer trimestre han destacat els atacs de ransomware com a principal causa de la informació corrupta. També han destacat els actors maliciosos que es dediquen a desfigurar i alterar el contingut de webs i canals oficials. Per últim, han proliferat els atacs meow, segons els quals l’atacant elimina bases de dades públiques a Internet sense demanar res a canvi.
15/07. Un grup de ciberactivistes conegut com a Ghost Squad Hackers ha El defacement o desfiguració, desfigurat la web de l'Agència Espacial Europea (ESA). Els ciberatacants van consisteix en la modificació no explicar que havien explotat una vulnerabilitat del tipus SSRF (Server-Side sol·licitada dels continguts Request Forgery) en el servidor. Això els va permetre obtenir accés al domini d'un lloc web com a resultat “business.esa.int”215. de l'atac a aquest lloc web. 28/07. Milers de bases de dades desprotegides i exposades públicament (font: Termcat) a Internet han estat víctimes d'atacs automatitzats i executats per botnets als quals s’ha anomenat atacs Meow. En aquest atac, es destrueix la base de dades sense deixar cap nota explicativa o de sol·licitud de rescat. El sobrenom de l’atac és deu al fet que les dades se sobreescriuen amb caràcters aleatoris Una botnet és grup que inclouen la paraula meow216. d'ordinadors zombi que són controlats des d'un mateix 7/08. Diversos fòrums de la plataforma Reddit, especialitzats en continguts servidor i es fan actuar d’entreteniment o esports, han estat modificats per incloure publicitat i conjuntament. imatges a favor de Donald Trump. Els canals tenen un abast de desenes de milions de subscriptors. Els atacants van robar diversos comptes de moderador El terme prové de l’acrònim que no tenien habilitada l'autenticació de doble factor i van dur a terme un atac en anglès de les paraules coordinat217. robot (bot) i net (xarxa), on cada dispositiu que forma part 13/08. Una base de dades de programari mèdic exposava obertament dades de la mateixa és anomenat personals de 3,1 milions de pacients. La base de dades pertanyia al proveïdor bot o zombi. Adit (EUA), un desenvolupador de programari de gestió. Després de deu dies de la detecció de l’error de configuració, les dades van ser esborrades pel (font: Termcat) bot Meow218. 01/09. Un investigador xinés de l’UCLA (EUA) va ser arrestat per l’FBI després de ser identificat quan destruïa informació emmagatzemada en un disc dur i el llençava en un contenidor d'escombraries. L’individu està acusat de compartir dades confidencials i tecnologia amb l'exèrcit xinès, i també per destruir proves219. 23/11. La companyia de venda d’habitatges de luxe The Corcoran Group (EUA) va exposar més de 30 milions de documents de propietaris en una base de dades mal configurada. Aparentment, la base de dades va ser eliminada pel bot meow després d’haver estat més de quatre mesos exposada públicament220. 23/12. Una companyia de tecnologies de la salut tenia 12 milions de registres de pacients, incloent-hi diagnòstics sensibles, en una bases de dades ElasticSearch mal configurada i accessible des d’Internet sense restriccions. La base de dades va ser posteriorment eliminada pel bot Meow221.
215 https://securityaffairs.co/wordpress/105918/hacktivism/european-space-agency-esa-site-defacement.html 216 https://www.welivesecurity.com/la-es/2020/07/28/bases-datos-borradas-ataques-meow/ 217 https://hipertextual.com/2020/08/hackeo-reddit-publicidad-donald-trump 218 https://healthitsecurity.com/news/medical-software-database-exposes-personal-data-of-3.1m-patients 219 https://www.justice.gov/opa/pr/chinese-national-charged-destroying-hard-drive-during-fbi-investigation-possible-transfer 220 https://securitydiscovery.com/the-corocan-group/ 221 https://www.infosecurity-magazine.com/news/leaky-server-12m-medical-records/
48
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
49
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Conclusions
50
Informe de tendències de ciberseguretat - La nova normalitat cibernètica
Conclusions
L’any 2020 ha estat l’any de la pandèmia, però també ha representat un punt d’inflexió. El món sencer ha viscut una experiència límit, de la qual se n’ha d’aprendre per conèixer-se millor i poder planificar com es vol ser en el futur.
I, precisament, això mateix és el que ha succeït en l’àmbit de la ciberseguretat. El ràpid i forçat canvi social i tecnològic ha fet que la ciutadania, el sector privat i el sector públic hagin quedat més exposats que mai a les amenaces cibernètiques. L’anàlisi d’aquesta realitat ha estat cabdal per dissenyar el full de ruta per al desplegament de l’Estratègia de ciberseguretat de la Generalitat de Catalunya 2019- 2022222.
Pel que fa a la ciutadania, el seu dia a dia és digital: l’escola, la feina, el consum i l’oci ja es desenvolupen a Internet. La conscienciació en ciberseguretat esdevé un element imprescindible per tal que la societat pugui desenvolupar qualsevol activitat a Internet en condicions de seguretat i privacitat. En aquest sentit, l’Agència de Ciberseguretat de Catalunya desenvoluparà l’Índex de Ciberseguretat de Catalunya, un sistema d’informació públic de referència amb dades per al coneixement i l'avaluació objectiva del nivell de maduresa en matèria de ciberseguretat i confiança digital al país223.
Pel que fa a les empreses, no tenen alternativa. El salt digital que han emprès comporta la necessitat d’assumir un compromís ferm amb la ciberseguretat, o bé implementant polítiques, o bé contractant professionals, eines o serveis a tercers. En aquest sentit, l’Agència de Ciberseguretat de Catalunya ha engegat la campanya #negocibersegur, una iniciativa adreçada al teixit empresarial del país per protegir-lo i convertir-lo en capdavanter dels reptes del segle XXI224.
Finalment, cal fer una menció especial del sector públic. S’ha evidenciat com n’és d’essencial, però, també, com en són de necessàries les noves tecnologies en aquest sector i l’interès dels ciberdelinqüents en atacar-lo. L’Agència de Ciberseguretat desplegarà un Servei Públic de Ciberseguretat adreçat a l’Administració local, mitjançant l’establiment de mesures, eines i models de coordinació operativa225. En aquest sentit, s’ha impulsat la contractació del Servei de Ciberseguretat per a les Administracions Locals de Catalunya (CATALONIA-SOC), una plataforma que permetrà oferir capacitats de ciberseguretat i cobertura als 948 municipis i als 42 consells comarcals226.
Així les coses, mentre el cibercrim ha demostrat que és un adversari que s’adapta a les noves realitats, el sector de la ciberseguretat té el repte de mirar endavant i liderar la protecció del país a Internet en la nova normalitat digital.
222 https://ciberseguretat.gencat.cat/web/.content/PDF/EstrategiaCiberseguretat-de-Catalunya-2019.2022-Final.pdf 223 https://contractaciopublica.gencat.cat/ecofin_pscp/AppJava/awardnotice.pscp?reqCode=viewPcan&idDoc=78120986&lawType=2 224 https://internetsegura.cat/empresa/ 225 https://ciberseguretat.gencat.cat/ca/detalls/noticia/Presentacio-del-Servei-Public-de-Ciberseguretat-adrecat-al-mon-local 226 https://ciberseguretat.gencat.cat/ca/detalls/noticia/LAgencia-de-Ciberseguretat-de-Catalunya-impulsa-la-contractacio-del-Servei-de-Ciberseguretat-per-a-les- Administracions-Locals-de-Catalunya-CATALONIA-SOC
51
ciberseguretat.gencat.cat @ Agència de Ciberseguretat de Catalunya abril de 2021
ciberseguretat.gencat.cat @ Agència de Ciberseguretat de Catalunya abril de 2021
ciberseguretat.gencat.cat @ Agència de Ciberseguretat de Catalunya abril de 2021
ciberseguretat.gencat.cat @ Agència de Ciberseguretat de Catalunya abril de 2021
ciberseguretat.gencat.cat @ Agència de Ciberseguretat de Catalunya abril de 2021
ciberseguretat.gencat.cat @ Agència de Ciberseguretat de Catalunya abril de 2021
ciberseguretat.gencat.cat @ Agència de Ciberseguretat de Catalunya