Aumento de ataques cibernéticos dirigidos por estados-nación revela vulnerabilidades en la nube y gestión remota

Un nuevo informe de CrowdStrike ha revelado un preocupante aumento de los ataques cibernéticos dirigidos por adversarios asociados a estados-nación, que están explotando credenciales e identidades legítimas para evadir la detección y comprometer la seguridad de empresas globales. El informe de Threat Hunting 2024 destaca un incremento significativo en los ataques “hands-on keyboard”, así como nuevas tácticas que apuntan a vulnerabilidades en entornos de nube y entre dominios.

Corea del Norte y la Infiltración en Empresas Tecnológicas

Una de las conclusiones más alarmantes del informe es la actividad del grupo Famous Chollima, vinculado al gobierno de Corea del Norte, que ha logrado infiltrarse en más de 100 compañías tecnológicas en Estados Unidos. Utilizando documentos robados o falsificados, estos actores maliciosos se han hecho pasar por empleados remotos para extraer datos corporativos, afectando gravemente la seguridad de la información en el sector.

Tendencia Creciente de Intrusiones “Hands-on Keyboard”

Las intrusiones “hands-on keyboard”, que implican una actividad manual directa por parte del atacante para mimetizarse como usuario legítimo, han experimentado un crecimiento del 55% respecto al año anterior. Este tipo de ataques, que evaden sistemas tradicionales de protección, han tenido un impacto significativo en los sectores sanitario y tecnológico, con un aumento del 75% y 60% respectivamente. Cabe destacar que las empresas de tecnología han sido, por séptimo año consecutivo, las más afectadas por este patrón de ataque.

El informe también revela un incremento del 70% en los abusos de herramientas de gestión remota de infraestructuras (RMM). Actores como Static Kitten, asociado al gobierno de Irán, y Chef Spider han utilizado herramientas como ConnectWise ScreenConnect para explotar los endpoints, representando el 27% del total de intrusiones “hands-on keyboard”. Este tipo de ataques permite a los cibercriminales acceder a sistemas críticos y mantener un control persistente, comprometiendo la integridad de los datos.

Ataques Entre Dominios y la Evasión de Detección

Otra tendencia clave identificada es el aumento de ataques entre dominios, en los que los ciberdelincuentes explotan credenciales legítimas para acceder a entornos cloud y moverse lateralmente a través de los endpoints. Este método deja poca huella, lo que dificulta su detección y respuesta. Los ciberatacantes están aprovechando las conexiones entre el plano de control cloud y los endpoints para infiltrarse de manera profunda y sostenida en las redes corporativas.

CrowdStrike también alerta sobre el creciente número de ataques a infraestructuras cloud por parte de grupos como Scattered Spider. Utilizando técnicas de ingeniería social, cambios en políticas de seguridad y acceso a administradores de contraseñas, estos actores buscan infiltrarse en entornos cloud. La explotación de las conexiones entre el plano de control cloud y los endpoints les permite moverse lateralmente, mantener la persistencia y extraer datos sensibles.

Estrategias de Detección y Respuesta ante Amenazas Avanzadas

Según Adam Meyers, responsable de operaciones contra ciberdelincuentes en CrowdStrike, “los actores de amenazas están adoptando cada vez más intrusiones interactivas y técnicas entre dominios para evadir la detección y lograr sus objetivos”. La compañía continúa innovando con su plataforma Falcon, que utiliza algoritmos avanzados y aprendizaje automático para identificar y neutralizar estas amenazas de manera efectiva.

El informe de CrowdStrike destaca la creciente sofisticación de los ataques cibernéticos dirigidos por estados-nación y la necesidad de adoptar estrategias avanzadas de defensa para proteger las infraestructuras críticas, especialmente en entornos cloud. Las empresas deben estar preparadas para enfrentarse a estos adversarios que aprovechan credenciales legítimas y herramientas de gestión remota para infiltrarse en sistemas sensibles y mantener un acceso prolongado.