Ya nos acercamos al final de 2024 y ha habido numerosos incidentes cibernéticos que han llegado a los titulares. Con solo dos meses y medio restantes del año y con la temporada navideña a la vuelta de la esquina, es probable que, lamentablemente, veamos más antes de que termine el año. En este blog, el equipo de Respuesta a Incidentes de Integrity360 examina algunos de los mayores ciberataques de 2024.
En enero de 2024, Microsoft detectó un ataque de estado-nación a sus sistemas corporativos, iniciando inmediatamente una respuesta para investigar y mitigar la brecha. La investigación de Microsoft Threat Intelligence identificó al actor de la amenaza como Midnight Blizzard, un grupo patrocinado por el estado ruso, también conocido como NOBELIUM. Los atacantes utilizaron técnicas como ataques de password-spray y explotación de aplicaciones OAuth para obtener acceso no autorizado a datos corporativos sensibles, incluidos correos electrónicos internos.
Este incidente subraya la evolución del panorama de amenazas y la importancia de equilibrar la seguridad con el riesgo empresarial. Utilizando registros de auditoría, Microsoft rastreó la actividad de los atacantes a través de Exchange Web Services (EWS) y comenzó a notificar a otras organizaciones afectadas. El incidente sigue bajo investigación, con un análisis en curso de las tácticas de Midnight Blizzard para mejorar la protección y respuesta a amenazas similares en el futuro.
La guerra entre Rusia y Ucrania continúa con ciberataques lanzados por ambos lados. En enero de 2024, la Dirección Principal de Inteligencia del Ministerio de Defensa de Ucrania informó que hacktivistas pro-ucranianos violaron el Centro Ruso de Hidrometeorología Espacial, conocido como "Planeta", eliminando 2 petabytes de datos. Planeta, un centro de investigación estatal, utiliza datos satelitales y terrestres para predecir el clima, monitorear desastres naturales y proporcionar información climática. Afiliado a Roscosmos, apoya sectores como el militar, la aviación civil y la agricultura.
Las autoridades ucranianas declararon que ciber voluntarios del "Equipo BO" atacaron la sucursal de Planeta en el Lejano Oriente, la mayor de sus tres ubicaciones. Supuestamente destruyeron 280 servidores que contenían 2 petabytes (2.000 terabytes) de datos.
El servicio de inteligencia ucraniano estimó el daño en 10 millones de dólares, afectando a clústeres de supercomputadoras y años de investigación. Dadas las sanciones a Rusia, restaurar sistemas informáticos sofisticados habría sido difícil, planteando un desafío significativo para las operaciones de Planeta.
Las populares VPN Connect Secure de Ivanti sufrieron una explotación masiva por parte de actores de amenazas tras la divulgación en enero de dos vulnerabilidades zero-day de alta gravedad. Los investigadores informaron que miles de dispositivos Ivanti VPN fueron comprometidos, con víctimas como la Agencia de Seguridad Cibernética y de Infraestructura de los EE. UU. (CISA) y Mitre, un importante proveedor de investigación y desarrollo financiado con fondos federales. Aunque se identificaron otras vulnerabilidades posteriormente, Mandiant, una firma de seguridad cibernética propiedad de Google Cloud, señaló que las dos vulnerabilidades originales fueron explotadas extensamente por un grupo de amenazas vinculado a China conocido como UNC5221 y otros grupos no identificados. La investigación de Mandiant indicó que los ataques de UNC5221 se remontan al 3 de diciembre.
En respuesta a los ataques generalizados, CISA emitió una directiva urgente que requería que las agencias ejecutivas civiles desconectaran sus VPN Ivanti Connect Secure dentro de 48 horas. El 31 de enero, Ivanti lanzó el primer parche para algunas versiones de su software VPN, tres semanas después de la divulgación inicial de la vulnerabilidad. La empresa declaró que priorizó los lanzamientos de mitigación mientras se desarrollaban los parches, en línea con las mejores prácticas de la industria.
Divulgado por primera vez el 22 de febrero, el ciberataque a Change Healthcare causó grandes interrupciones en el sistema de salud de EE. UU. durante semanas. En respuesta al ataque de ransomware, se inició un apagón de los sistemas de TI, lo que impidió que muchas farmacias, hospitales y otras instalaciones sanitarias procesaran reclamos y recibieran pagos. El grupo de ciberdelincuentes de habla rusa conocido como BlackCat o ALPHV se atribuyó la responsabilidad. El CEO de UnitedHealth Group, Andrew Witty, confirmó en su testimonio ante el Congreso en mayo que la empresa pagó un rescate de 22 millones de dólares tras el ataque.
Posteriormente, otra banda de ciberdelincuentes llamada RansomHub publicó datos que afirmaba haber robado de Change Healthcare. A finales de abril, UnitedHealth reveló que los datos pertenecientes a una "proporción sustancial" de estadounidenses podrían haber sido robados en el ataque contra Change Healthcare, una unidad de su subsidiaria Optum. Witty declaró que "quizás un tercio" de todos los estadounidenses se vio afectado. En junio, Change Healthcare reveló que se expusieron datos médicos sensibles de los pacientes, incluidos potencialmente diagnósticos, medicamentos, resultados de pruebas, imágenes, cuidados y tratamientos.
Si te preocupa alguna de las amenazas descritas en este blog o necesitas ayuda para determinar qué pasos tomar para proteger a tu organización de las amenazas más significativas, no dudes en ponerte en contacto con nosotros.