Informe De Tendències De Ciberseguretat - La Nova Normalitat Cibernètica
Total Page:16
File Type:pdf, Size:1020Kb
Informe de tendències de ciberseguretat - La nova normalitat cibernètica Informe de tendències de ciberseguretat 2n semestre de 2020 La nova normalitat cibernètica 1 Informe de tendències de ciberseguretat - La nova normalitat cibernètica El contingut d’aquesta guia és titularitat de l’Agència de Ciberseguretat de Catalunya i resta subjecta a la llicència de Creative Commons BY-NC-ND. L’autoria de l’obra es reconeixerà a través de la inclusió de la menció següent: Obra titularitat de l’Agència de Ciberseguretat de Catalunya. Llicenciada sota la llicència CC BY-NC-ND. Aquesta guia es publica sense cap garantia específica sobre el contingut. Aquesta llicència té les particularitats següents: Vostè és lliure de: Copiar, distribuir i comunicar públicament l’obra. Sota les condicions següents: Reconeixement: S’ha de reconèixer l’autoria de l’obra de la manera especificada per l’autor o el llicenciador (en tot cas, no de manera que suggereixi que gaudeix del suport o que dona suport a la seva obra). No comercial: No es pot emprar aquesta obra per a finalitats comercials o promocionals. Sense obres derivades: No es pot alterar, transformar o generar una obra derivada a partir d’aquesta obra. Avís: En reutilitzar o distribuir l’obra, cal que s’esmentin clarament els termes de la llicència d’aquesta obra. El text complet de la llicència es pot consultar a https://creativecommons.org/licenses/by-nc-nd/4.0/deed.ca L’informe inclou recursos gràfics, com imatges i icones, subministrades des de plataformes de continguts gratuïts de lliure difusió. Menció específica a: https://www.iconfinder.com, https://pixabay.com. 2 Informe de tendències de ciberseguretat - La nova normalitat cibernètica Aquest document és fruit del seguiment i de l'anàlisi de les tendències en relació amb les amenaces de ciberseguretat detectades durant el segon semestre de 2020 per part de l’Agència de Ciberseguretat de Catalunya. Per a la realització d'aquest informe s'han tingut en compte l’activitat i la documentació pròpies generades per l’Agència de Ciberseguretat de Catalunya, així com diversos informes de referència i fonts qualificades d’entitats, fabricants, organismes i professionals del món de la ciberseguretat, tant de l’àmbit nacional com internacional. 2 Informe de tendències de ciberseguretat - La nova normalitat cibernètica Índex Resum 4 Ha estat notícia 6 Les organitzacions encaren la nova normalitat amb el creixement de l’amenaça dels atacs de ransomware, DDoS i els provocats per interns 10 El cibercrim evoluciona, s’adapta a la nova normalitat i se centra en els atacs que donen més beneficis 20 Augmenta la tensió geopolítica: ciberespionatge, campanyes de desinformació i ciberatacs a la cadena de subministrament de les vacunes 32 Baròmetre d’amenaces 42 Conclusions 50 3 Informe de tendències de ciberseguretat - La nova normalitat cibernètica Resum 4 Informe de tendències de ciberseguretat - La nova normalitat cibernètica Resum Ha estat notícia. A final de 2020, es va detectar el que probablement ha estat el ciberatac més gran de la història a la cadena de subministrament. El mes de desembre, l’empresa de SolarWinds Corporation és una companyia nord- americana que desenvolupa programari de gestió de ciberseguretat FireEye va descobrir que uns ciberatacants havien xarxa, sistemes i infraestructura tecnològica. aconseguit distribuir programari maliciós a les actualitzacions del software Orion de Solarwinds. S’especula que tot va començar el 2019, quan SolarWinds hauria estat compromesa per en un ciberatac a partir d’una contrasenya feble, “Solarwinds123”. Ara bé, aquest no és un cas aïllat. En poques setmanes, es va detectar que el proveïdor Able Software (Mongòlia) i l’Autoritat de Certificació del govern del Vietnam també es van veure compromesos i van ser utilitzats per difondre programari maliciós a tots els seus clients. Les organitzacions encaren la nova normalitat amb el creixement de l’amenaça dels atacs de ransomware, DDoS i els provocats per interns. Amb la covid-19, les organitzacions han desplegat el teletreball, han incorporat encara més les noves tecnologies i han ampliat la connectivitat. Aquests fets han incrementat el risc de ciberatacs dirigits als accessos remots usats pels teletreballadors, així com d’atacs de ransomware i DDoS per explotar la dependència de les noves tecnologies. El nombre d’incidents de ransomware publicats als mitjans han En aquest sentit, el 3r trimestre de 2020, els atacs de mantingut una tendència creixent durant el 2020 ransomware a l’Estat espanyol van registrar un creixement del 160%. Pel que fa als atacs de DDoS, el 2020 s’han registrat magnituds de rècord: 2,3 Tbps (terabits per segon) i 809 Mpps (paquets per segon). La major connectivitat entre organitzacions ha augmentat el risc que els atacs afectin la cadena de subministrament. De fet, el 80% dels professionals de la ciberseguretat han patit, a les seves organitzacions, una fuita de dades relacionada amb un proveïdor durant el darrer any. Pel que fa a les fuites de dades, s’ha arribat a 37.000 milions de registres filtrats, un augment del 140% respecte del 2019, tot i que el nombre d’incidents ha disminuït un 48%. A banda d’això a les organitzacions ha crescut l’amenaça interna, o bé per negligència o bé, a causa de la crisi, per motivacions econòmiques. El cibercrim evoluciona, s’adapta a la nova normalitat i se centra en els atacs que aporten més beneficis. El cibercrim s’ha adaptat a la nova normalitat i ajusta la seva activitat a la recerca del màxim benefici. El robatori de credencials ha canviat i, actualment, el 72% de les credencials més cotitzades correspon als nous serveis utilitzats durant el distanciament social. Els atacs de BEC dirigits als teletreballadors són més habituals (creixen un 155% durant el 3r trimestre) i l’import mitjà El preu mitjà dels rescats no ha deixat de créixer, fins que han robat arriba als 61.000 euros. Els atacs de ransomware es tocat sostre i han patit la primera caiguda a final de 2020 dirigeixen a empreses i registren un augment del 400%. Tanmateix, per contrarestar la caiguda de l’import dels rescats detectada durant el darrer trimestre, incorpora nous factors d’extorsió: el 70% del ransomware fa ús del robatori d’informació i l’amenaça de filtrar-la. A tot això, a més a més, creixen els grups cibercriminals i els comportaments delictius del món físic es traslladen a la xarxa. Augmenta la tensió geopolítica: ciberespionatge, campanyes de desinformació i atacs a la cadena de subministrament de les vacunes. L’interès per la vacuna de la covid-19 ha alimentat el ciberespionatge de grups de cibercriminals patrocinats per estats. Els incidents de ciberespionatge publicats als mitjans han crescut més d’un 50% a partir de la declaració de la pandèmia. En aquest context, les agències d’intel·ligència s’han dotat de capacitats defensives i ofensives. Les campanyes de desinformació i les notícies falses han tractat temes com ara la Els incidents vinculats al ciberespionatge publicats als covid-19 i, especialment el darrer trimestre de 2020, les vacunes. mitjans han crescut a partir de l’inici de la pandèmia Al darrere d’aquestes campanyes també hi ha grups organitzats amb interessos geopolítics, partidaris d’influir sobre l’opinió pública. La preocupació per les notícies falses està a l’alça i, tant els gegants digitals com els governs, segueixen desplegant accions per supervisar-les i mantenir-les sota control. 5 Informe de tendències de ciberseguretat - La nova normalitat cibernètica Ha estat notícia 6 Informe de tendències de ciberseguretat - La nova normalitat cibernètica Ha estat notícia A final de 2020, es va detectar el que probablement ha estat el ciberatac més gran de la història a la cadena de subministrament. Uns ciberatacants van aconseguir distribuir un malware a les actualitzacions del programari Orion de Solarwinds. Uns 18.000 clients d’arreu del món podrien haver estar impactats i el cost dels danys causats podria superar els 83.000 milions d’euros. Cal estar alerta, però, perquè no és un cas aïllat. Els models de seguretat Zero Trust poden aportar seguretat a les organitzacions en ecosistemes grans i complexos. Possiblement, l’atac més gran contra una cadena de subministrament SolarWinds Corporation és una companyia nord-americana que desenvolupa programari de gestió de xarxa, sistemes i infraestructura tecnològica. Disposa de més de 300.000 clients, entre els quals hi ha més de 425 empreses de les 500 més importants del món, però també organitzacions i agències governamentals1. Els fets en qüestió van començar l’11 de desembre de 2020, quan la companyia de ciberseguretat FireEye va detectar un accés no autoritzat als seus sistemes que havia permès a uns ciberatacants obtenir diverses eines utilitzades per posar a prova la seguretat dels seus clients2. Les investigacions de l’incident van revelar que l’atac s’havia produït a través d’una backdoor, instal·lada a través d’una actualització del programari de gestió de xarxes SolarWinds Orion Platform, del qual FireEye n’era client3. Poc després, es va descobrir que aquest fet era només la punta de l’iceberg. L’atac a FireEye era l’indici d’una operació d'espionatge digital, massiva i altament sofisticada, perpetrada a través de la cadena de subministrament del programari legítim Orion de Solarwinds. Aquest programari era utilitzat per 33.000 clients i s’estima que uns 18.000 podrien haver descarregat l’actualització maliciosa4, entre els quals hi ha agències governamentals, empreses tecnològiques i, fins i tot, empreses de ciberseguretat5. Caldria buscar el seu origen a l’any 2019, quan SolarWinds podria haver estat compromesa per uns ciberatacants que van aconseguir inserir programari maliciós en l’actualització del programa Orion. Durat el mes de març, aquesta actualització maliciosa seria subministrada a milers de clients6.