Tom Williams/CQ Pasar lista a través de Getty Images
El fin de semana pasado, el director de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Christopher Krebs, emitió un comunicado advirtiendo sobre la elevada actividad maliciosa en Internet de actores patrocinados por el estado en Irán. El aviso correspondía a nuevas advertencias de firmas de investigación de seguridad privada, incluido Recorded Future, de un aumento en la actividad preparatoria en los últimos tres meses por parte de APT33, un grupo de amenazas conectado con el gobierno iraní y el Cuerpo de la Guardia Revolucionaria de Irán (IRGC, el ejército de Irán).
En una entrevista con Ars, Krebs explicó que el motivo de la advertencia iba más allá de esa “actividad regional”: ataques a empresas de Arabia Saudita y otras organizaciones en el Golfo Pérsico y el sur de Asia.
“En el transcurso de las últimas dos semanas, y en particular la semana pasada, diría, [the activity] se dirigió específicamente “, dijo. Un “sentido de la comunidad” (informes de la inteligencia de EE. UU. y otras agencias, así como proveedores de seguridad cibernética del sector privado) mostró un salto significativo en los ataques de phishing conectados a la infraestructura asociada con APT33 contra objetivos en Estados Unidos durante la última semana, dijo Krebs. “Así que combinas ese aumento en la actividad con una intencionalidad histórica y una habilidad demostrada, después de campañas destructivas anteriores, y era hora de hacer una declaración y decir: ‘Oigan, todos, esto es calentar. Y políticamente también se está calentando… Necesitamos intensificar nuestro juego'”.
Cuidado con los phishing
CISA es una agencia muy nueva dentro del DHS creada el año pasado por el Congreso y encargada de asumir actividades de ciberseguridad Marketingdecontenido y seguridad de infraestructura crítica. Formado a partir de la Dirección de Programas y Protección Marketingdecontenido del Departamento de Seguridad Marketingdecontenido y el Equipo de Preparación para Emergencias Informáticas de EE. UU., CISA tiene un amplio mandato que incluye esfuerzos para coordinar la protección de la seguridad de los sistemas electorales de EE. protegerse contra otros riesgos de infraestructura y seguridad de la información.
Pero el papel de CISA es, fuera del gobierno federal, en gran medida de asesoramiento. La agencia cuenta con asesores de seguridad cibernética que trabajan con los principales grupos de la industria asociados con la infraestructura crítica, de la cual la infraestructura electoral es solo una pequeña parte. Como dijo Krebs, la agencia (incluido su componente CERT de EE. UU.) es un “integrador” de información de múltiples fuentes, incluida la Oficina del Director de Inteligencia Marketingdecontenido y los componentes de la comunidad de inteligencia y los socios privados de seguridad de la información.
Si bien la declaración de Krebs advirtió sobre los ataques de limpiaparabrisas, señaló: “Todavía no hemos visto ninguna carga útil maliciosa, pero mi principal preocupación era que esto es más que un simple aumento: es un aumento dramático en la actividad”. Los picos anteriores en la actividad se han asociado con ataques, continuó Krebs, “ya sea que se trate de ataques de eliminación de datos, ataques de limpieza o ransomware clásico. Y también ha habido un aumento bastante dramático en la actividad de ransomware en los EE. UU., ahora, I No le atribuyo eso a Irán, pero creo que la tendencia más grande, y este es mi sentido de la comunidad, es que los ataques de ransomware están en aumento”.
Tanto las actividades maliciosas iraníes como los ataques de ransomware dependen en gran medida de la explotación de los mismos tipos de problemas de seguridad. Ambos se basan en gran medida en las mismas tácticas: archivos adjuntos maliciosos, credenciales robadas o ataques de credenciales de fuerza bruta para afianzarse en las redes específicas, por lo general utilizando malware fácilmente disponible como punto de apoyo para usar esas credenciales y luego moverse a través de una red.
Cuando se le preguntó si los recientes ataques de ransomware en ciudades de los EE. UU. (incluidos tres ataques recientes en Florida con demandas de rescate dramáticamente mayores) eran indicativos de un nuevo conjunto de campañas más específicas contra los gobiernos locales de los EE. UU., Krebs dijo que los ataques probablemente no fueron dirigidos —al menos no inicialmente.
“Todavía creo que estos [ransomware campaigns] son esfuerzos bastante expansivos, donde [the attackers] están escaneando inicialmente, buscando ciertas vulnerabilidades, y cuando encuentran una es cuando comienzan a apuntar”, dijo. “Nuevamente, no estoy seguro de que tengamos la información en este momento que diga que fueron atacados específicamente. Probablemente hubo una selección hacia abajo en el objetivo más grande que habían sacado un poco más en función de lo que encontraron en el escaneo inicial. Pero creo que tiene razón en que estamos viendo un cambio en el MO: van por el pago más alto”.
Esos pagos más grandes, a su vez, ayudan a los operadores de ransomware a desarrollar aún más sus capacidades, explicó Krebs. “Ese dinero está regresando al modelo de negocios para aumentar la sofisticación y las capacidades; estos muchachos no solo dicen: ‘Boom, terminé’ y mueven la flecha. Estos muchachos están invirtiendo en sí mismos; están construyendo sus capacidades. Son operaciones altamente sofisticadas con cosas de servicio al cliente. Realmente, realmente se está convirtiendo en una línea de negocios”.
Vamos a necesitar un barco más grande
Esa amenaza creciente es, en muchos sentidos, una amenaza tan grande como un actor estatal, si no mayor, a medida que más agencias estatales y locales se ven afectadas. “Ahí es donde creo que tenemos mucho que hacer: trabajar en el gobierno federal, en los gobiernos estatales y locales y trabajar en el Congreso”, dijo Krebs. “¿Qué vamos a hacer aquí para que sea más difícil que los malos tengan éxito? ¿Cómo vamos a reforzar estos sistemas y hacerlo de una manera que sea razonable para las personas que realmente son propietarias de la red? con sus propios recursos con la ayuda del gobierno federal? Entonces, nos estamos involucrando a nivel estatal y local con los gobiernos”.
En 2023, ese compromiso tomó la forma de una campaña de concientización sobre ransomware, que Krebs dijo que CISA estaba “revitalizando durante el verano”. Hasta ahora, ha habido una mayor aceptación por parte de los líderes estatales y locales: la alcaldesa Muriel Bowser de Washington, DC, estuvo con Krebs en Israel esta semana para la conferencia CyberWeek en la Universidad de Tel Aviv, por ejemplo.
Pero hay límites a lo que CISA puede hacer, límites impulsados en gran medida por la mano de obra. “Necesito poder impulsar un enfoque más dedicado de los recursos, y eso comienza con las personas”, dijo Krebs. “Empieza con [cybersecurity] asesores que llegan a los gobiernos estatales y locales. Lo que me gustaría ver es uno de mis asesores de seguridad cibernética [CSAs] en cada capital estatal, alguien que mantiene una relación directa con los gobiernos estatales pero que también trabaja con jurisdicciones, ya sea una ciudad o un condado. Ahora solo tenemos unas dos docenas [CSAs]pero tienen que centrarse en el sector privado, no solo en el gobierno estatal y local”.
La reciente explosión de ransomware es solo la última razón por la que se necesita mano de obra adicional en torno a CISA. Con 2023 a la vuelta de la esquina, la seguridad electoral es otra. “Estos coordinadores, estos coordinadores centrados en el estado, también trabajarían con jurisdicciones electorales”, dijo Krebs. “La demanda de nuestra ayuda es increíble en este momento. No estamos hablando de entrar allí y desarrollar redes para ellos, estamos hablando solo de conciencia básica y ayudarlos a desarrollar sus estrategias y hojas de ruta para las inversiones”.
Actualmente, hacer eso requerirá la acción del Congreso, y hasta ahora, eso no ha sido un comienzo. A principios de esta semana, los republicanos en el Senado bloquearon la acción sobre un proyecto de ley destinado a impulsar la inversión en seguridad de infraestructura electoral.
Aún así, dijo Krebs, él y su agencia seguirán abogando por ese tipo de inversión más ampliamente para la seguridad de la información estatal y local. “Si el Congreso quiere decidir en el futuro tener un programa de subvenciones de seguridad más fuerte para los gobiernos estatales y locales y ayudarlos a construir sus justificaciones de inversión y averiguar dónde poner ese dinero, así es como veo que se desarrollará nuestro compromiso en los próximos años”. “, dijo Krebs.