Imagen: Shutterstock
Ocho autoridades de seguridad cibernética de las naciones Five Eye se han unido para publicar un aviso de seguridad cibernética conjunto que indica que se avecinan más actividades cibernéticas maliciosas a medida que la invasión rusa de Ucrania continúa afectando la estabilidad geopolítica.
«La inteligencia en evolución indica que el gobierno ruso está explorando opciones para posibles ataques cibernéticos», dijeron las agencias.
El aviso es una advertencia conjunta de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., la Oficina Federal de Investigaciones de EE. UU., la Agencia de Seguridad Nacional de EE. UU., el Centro de Seguridad Cibernética de Australia, el Centro Canadiense de Seguridad Cibernética, el Centro Nacional de Seguridad Cibernética de Nueva Zelanda y el Centro Nacional de Seguridad Cibernética del Reino Unido. y la Agencia Nacional contra el Crimen del Reino Unido.
Dijeron que algunos grupos de delitos cibernéticos y amenazas cibernéticas recientemente se comprometieron públicamente a apoyar al gobierno ruso a la luz de su invasión a Ucrania. Estos grupos de delitos cibernéticos alineados con Rusia han amenazado con realizar operaciones cibernéticas en represalia por las supuestas ofensivas cibernéticas contra el gobierno ruso y el pueblo ruso, afirma el aviso.
Algunos grupos también han amenazado con realizar operaciones cibernéticas contra países y organizaciones que brindan apoyo material a Ucrania, mientras que otros grupos también han realizado ataques disruptivos contra sitios web ucranianos.
Entre los grupos de ciberdelincuencia identificados que se han alineado con el gobierno ruso se encuentran The CoomingProject, Killnet, Mummy Spider, Salty Spider, Scully Spider, Smokey Spider, Wizard Spider y Xaknet Team.
Mientras tanto, Primitive Bear y Venomous Bear han sido señalados como grupos de amenazas cibernéticas alineados con Rusia que no han sido atribuidos al gobierno ruso.
Desde la invasión de Ucrania, las autoridades de ciberseguridad de Five Eye también han detectado operaciones cibernéticas maliciosas contra redes de TI de varias entidades gubernamentales rusas. Estos incluyen el Servicio de Seguridad Federal de Rusia (FSB), incluidos el Centro 16 y el Centro 18 del FSB, el Servicio de Inteligencia Exterior de Rusia, la Dirección Principal de Inteligencia del Estado Mayor de Rusia, el Centro Principal de Tecnologías Especiales de GRU, el Ministerio de Defensa de Rusia y el Instituto Científico Central de Química y Mecánica.
A la luz de esta actividad maliciosa, las autoridades de seguridad cibernética de Five Eyes han instado a los defensores de la red de infraestructura crítica a prepararse para posibles amenazas cibernéticas, que incluyen malware destructivo, ransomware, ataques DDoS y espionaje cibernético, fortaleciendo sus defensas cibernéticas y actuando con la debida diligencia en identificar indicadores de actividad maliciosa.
Para protegerse contra este creciente panorama de amenazas cibernéticas, las autoridades de Five Eyes han pedido a las organizaciones que tomen cuatro precauciones de inmediato.
El primero es actualizar el software, incluidos los sistemas operativos, las aplicaciones y el firmware, en los activos de la red de TI. Según las autoridades de Five Eyes, esto implicaría priorizar el parcheo de vulnerabilidades explotadas conocidas y vulnerabilidades críticas y altas que permiten la ejecución remota de código o la denegación de servicio en equipos con acceso a Internet. También recomendaron que las redes de TI consideren el uso de un sistema de administración de parches centralizado y que las redes de OT usen una estrategia de evaluación basada en riesgos para determinar las zonas y los activos de la red de OT que deben participar en los programas de administración de parches.
La segunda precaución es hacer cumplir la autenticación multifactor en la mayor medida posible y exigir que las cuentas con inicios de sesión con contraseña, incluidas las cuentas de servicio, tengan contraseñas seguras.
Los dos restantes exigen que las organizaciones brinden capacitación de concientización a los usuarios finales y que los usuarios de protocolos de escritorio remoto aseguren y monitoreen de cerca estos protocolos más riesgosos.
«La explotación de RDP es uno de los principales vectores de infección inicial para ransomware, y los servicios de riesgo, incluido RDP, pueden permitir el acceso no autorizado a su sesión mediante un atacante en la ruta», afirma el aviso.
Antes de esta advertencia, el presidente de EE. UU., Joe Biden, ya había instado a las organizaciones locales el mes pasado a reforzar sus esfuerzos de defensa cibernética, ya que Rusia ha estado considerando realizar ataques cibernéticos en represalia por las sanciones impuestas contra el país por su invasión a Ucrania.
“Rusia podría realizar actividades cibernéticas maliciosas contra Estados Unidos, incluso como respuesta a los costos económicos sin precedentes que le hemos impuesto a Rusia junto con nuestros aliados y socios. Es parte del libro de jugadas de Rusia”, dijo Biden en ese momento.
“Mi administración está reiterando esas advertencias basadas en inteligencia en evolución de que el gobierno ruso está explorando opciones para posibles ataques cibernéticos”.
