Un grupo de crackers respaldados por Beijing provocaron una crisis a principios de este años después de hackear varios servidores de correo electrónico de Exchange, aprovechando fallos que Microsoft no conocía. Aun así, según recoge ZDNet, la compañía dice que los ciberdelincuentes rusos son mucho más prolíficos que los de China o cualquier otra nación.
«Durante el año pasado, el 58% de todos los ciberataques observados por Microsoft desde estados-nación provienen de Rusia», dijo Tom Burt, vicepresidente corporativo de Microsoft en una publicación de blog que detalla los ataques informáticos respaldados por gobiernos durante el año pasado.
Estados Unidos y el Reino Unido culparon al Servicio de Inteligencia Exterior de Rusia (SVR) por el enorme ataque a la cadena de suministro de software contra SolarWinds, un proveedor de software empresarial estadounidense. Aproximadamente 18.000 clientes recibieron una actualización de software malicioso para el software de gestión de red Orion del proveedor que contenía una puerta trasera conocida como Sunburst.
Tras esto, aproximadamente 100 de estos clientes, residentes en los Estados unidos, recibieron ataques informáticos, incluidas las principales empresas de tecnología y agencias gubernamentales estadounidenses.
Una ciberdelincuencia promovida por la política rusa
Burt advirtió que el año pasado los crackers respaldados por el Kremlin comenzaron a volverse «cada vez más efectivos», con ataques cada vez más exitosos e impulsados por campañas de espionaje e inteligencia. Muchos ataques atribuidos a Rusia tenían como objetivo el software de red privada virtual (VPN) empresarial.
«Los actores rusos apuntan cada vez más a las agencias gubernamentales para la recopilación de inteligencia, que pasaron del 3% de sus objetivos hace un año al 53%, principalmente agencias involucradas en política exterior, seguridad nacional o defensa», explicó.
La ciberdelincuencia de Rusia está motivada principalmente por la política de la nación, y los principales objetivos son Estados Unidos, Ucrania y el Reino Unido, según Microsoft.
Pero otros sospechosos habituales también aparecen en el Informe de Defensa Digital 2021 de Microsoft, incluidos Irán y Corea del Norte. Un nuevo participante es Turquía, que desarrolló cierta predilección por los troyanos. Por otro lado, el mayor ausente en el informe de Microsoft es el trabajo realizado por los crackers israelíes; Israel es el hogar de NSO Group, un grupo conocido por las vulnerabilidades dirigidas a los iPhones.
La piratería informática rusa se centró principalmente en Ucrania, mientras que Israel fue atacado cada vez más por ciberdelincuentes iraníes.
«NOBELIUM, con sede en Rusia, elevó el número de clientes ucranianos afectados de 6 el pasado año fiscal a más de 1.200 este año, al apuntar fuertemente a los intereses del Gobierno ucraniano involucrados en reunir apoyo contra una acumulación de tropas rusas a lo largo de la frontera de Ucrania», señala Microsoft en su Informe de Defensa Digital.
«Este año casi se cuadruplicó en la selección de entidades israelíes, como consecuencia exclusiva de los actores iraníes, que se centraron en Israel mientras las tensiones aumentaban drásticamente entre los adversarios».
Se extienden los ataques a las cadenas de suministro
Las agencias del sector público atacadas por los crackers son en su mayoría «ministerios de relaciones exteriores y otras entidades gubernamentales globales involucradas en asuntos internacionales», según Microsoft, mientras que los ataques de phishing que buscan robar credenciales afectan a las cuentas de consumidores y empresas.
Los ciberdelincuentes rusos han llevado a cabo varios ataques a las cadenas de suministro durante la última década. El mayor ataque a una cadena de suministro antes de SolarWinds fue NotPetya en 2017, que se extendió a través de un paquete de software de contabilidad ucraniano poco conocido y costó miles de millones de dólares en pérdidas a los gigantes industriales.
Los ataques a las cadenas de suministro de software funcionan porque se llevan a cabo a través de actualizaciones de proveedores de software de confianza, incluidas las empresas de seguridad.
Ahora, casi todas las principales empresas de ciberseguridad estadounidenses se están uniendo bajo la orden ejecutiva de ciberseguridad del presidente de los Estados Unidos, Joe Biden, que trata de impulsar la idea de que ni siquiera se puede confiar en las redes de confianza habituales.
Foto de Mika Baumeister en Unsplash