con la pandemia evolucionando hacia una nueva fase amorfa y la polarización política en aumento en todo el mundo, 2022 fue un año inquieto y, a menudo, desconcertante en seguridad digital. Y aunque los piratas informáticos se apoyaron con frecuencia en viejas castañas como el phishing y los ataques de ransomware, aún encontraron nuevas variaciones viciosas para subvertir las defensas.
Aquí está la mirada retrospectiva de WIRED sobre las peores infracciones, filtraciones, ataques de ransomware, campañas de piratería patrocinadas por el estado y adquisiciones digitales del año. Si los primeros años de la década de 2020 son una indicación, el campo de la seguridad digital en 2023 será más extraño e impredecible que nunca. Manténgase alerta y manténgase seguro ahí fuera.
Durante años, Rusia ha azotado a Ucrania con brutales ataques digitales que han provocado apagones, robo y destrucción de datos, intromisión en las elecciones y lanzamiento de malware destructivo para arrasar las redes del país. Sin embargo, desde la invasión de Ucrania en febrero, los tiempos han cambiado para algunos de los piratas informáticos militares más destacados y peligrosos de Rusia. Las campañas astutas a largo plazo y los hackeos sombríamente ingeniosos han dado paso en gran medida a un clip más estricto y reglamentado de intrusiones rápidas en las instituciones ucranianas, reconocimiento y destrucción generalizada en la red, y luego acceso repetido una y otra vez, ya sea a través de una nueva brecha. o manteniendo el antiguo acceso. El libro de jugadas ruso en el campo de batalla físico y en el ciberespacio parece ser el mismo: uno de bombardeo feroz que proyecta poder y causa tanto dolor como sea posible al gobierno ucraniano y sus ciudadanos.
Sin embargo, Ucrania no ha sido digitalmente pasiva durante la guerra. El país formó un “Ejército de TI” de voluntarios después de la invasión y, junto con otros actores de todo el mundo, ha montado ataques DDoS, piratería disruptiva y violaciones de datos contra organizaciones y servicios rusos.
Durante el verano, un grupo de investigadores apodado 0ktapus (también conocido como «Scatter Swine») se embarcó en un phishing masivo, comprometiendo casi 10,000 cuentas dentro de más de 130 organizaciones. La mayoría de las instituciones víctimas tenían su sede en los EE. UU., pero también había docenas en otros países, según los investigadores. Los atacantes principalmente enviaban mensajes de texto a los objetivos con enlaces maliciosos que conducían a páginas de autenticación falsas para la plataforma de administración de identidades Okta, que se puede usar como una herramienta de inicio de sesión único para numerosas cuentas digitales. El objetivo de los piratas informáticos era robar las credenciales de Okta y los códigos de autenticación de dos factores para poder acceder a varias cuentas y servicios a la vez.
Una empresa golpeada durante el alboroto fue la empresa de comunicaciones Twilio. Sufrió una brecha a principios de agosto que afectó a 163 de sus organizaciones clientes. Twilio es una gran empresa, por lo que solo representó el 0,06 por ciento de sus clientes, pero los servicios confidenciales como la aplicación de mensajería segura Signal, la aplicación de autenticación de dos factores Authy y la firma de autenticación Okta estaban todos en esa porción y se convirtieron en víctimas secundarias de la violación. . Dado que uno de los servicios que ofrece Twilio es una plataforma para enviar automáticamente mensajes de texto SMS, uno de los efectos colaterales del incidente fue que los atacantes pudieron comprometer los códigos de autenticación de dos factores y violar las cuentas de usuario de algunos clientes de Twilio.
Como si eso no fuera suficiente, Twilio agregó en un informe de octubre que 0ktapus también lo violó en junio y que los piratas informáticos robaron la información de contacto del cliente. El incidente destaca el verdadero poder y la amenaza del phishing cuando los atacantes eligen sus objetivos estratégicamente para magnificar los efectos. Twilio escribió en agosto: “Estamos muy decepcionados y frustrados por este incidente”.
En los últimos años, los países de todo el mundo y la industria de la ciberseguridad se han centrado cada vez más en contrarrestar los ataques de ransomware. Si bien ha habido algunos avances en la disuasión, las pandillas de ransomware todavía estaban alborotadas en 2022 y continuaron apuntando a instituciones sociales vulnerables y vitales, incluidos los proveedores de atención médica y las escuelas. El grupo de habla rusa Vice Society, por ejemplo, se ha especializado durante mucho tiempo en apuntar a ambas categorías, y este año centró sus ataques en el sector de la educación. El grupo tuvo un enfrentamiento particularmente memorable con el Distrito Escolar Unificado de Los Ángeles a principios de septiembre, en el que la escuela finalmente tomó una posición y se negó a pagar a los atacantes, incluso cuando sus redes digitales fallaron. LAUSD fue un objetivo de alto perfil, y Vice Society puede haber mordido más de lo que podía masticar, dado que el sistema incluye más de 1,000 escuelas que atienden a aproximadamente 600,000 estudiantes.
Mientras tanto, en noviembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., el FBI y el Departamento de Salud y Servicios Humanos emitieron una advertencia conjunta sobre el grupo de ransomware vinculado a Rusia y el fabricante de malware conocido como HIVE. Las agencias dijeron que el ransomware del grupo se ha utilizado para apuntar a más de 1,300 organizaciones en todo el mundo, lo que resultó en aproximadamente $ 100 millones en pagos de rescate de las víctimas. “Desde junio de 2021 hasta al menos noviembre de 2022, los actores de amenazas han utilizado el ransomware Hive para apuntar a una amplia gama de empresas y sectores de infraestructura crítica”, escribieron las agencias, “incluidas las instalaciones gubernamentales, las comunicaciones, la fabricación crítica, la tecnología de la información y, especialmente, la atención médica y Salud pública.»
La pandilla de extorsión digital Lapsus$ estaba en una intensa ola de piratería a principios de 2022, robando el código fuente y otra información confidencial de compañías como Nvidia, Samsung, Ubisoft y Microsoft y luego filtrando muestras como parte de aparentes intentos de extorsión. Lapsus$ tiene un talento siniestro para el phishing y, en marzo, comprometió a un contratista con acceso al omnipresente servicio de autenticación Okta. Los atacantes parecían tener su sede principalmente en el Reino Unido y, a fines de marzo, la policía británica arrestó a siete personas asociadas con el grupo y acusó a dos a principios de abril. Sin embargo, en septiembre, el grupo volvió a la vida, violando sin piedad la plataforma de viajes compartidos Uber y aparentemente el Grand Theft Auto desarrollador Rockstar también. El 23 de septiembre, la policía del Reino Unido dijeron que habían arrestado un joven anónimo de 17 años en Oxfordshire que parece ser una de las personas arrestadas previamente en marzo en relación con Lapsus$.
El asediado gigante del administrador de contraseñas LastPass, que se ha ocupado repetidamente de violaciones de datos e incidentes de seguridad a lo largo de los años, dijo a fines de diciembre que una violación de su almacenamiento en la nube en agosto provocó otro incidente en el que los piratas informáticos atacaron a un empleado de LastPass para comprometer credenciales y claves de almacenamiento en la nube. Luego, los atacantes utilizaron este acceso para robar las bóvedas de contraseñas cifradas de algunos usuarios (los archivos que contienen las contraseñas de los clientes) y otros datos confidenciales. Además, la compañía dice que «algunos códigos fuente e información técnica fueron robados de nuestro entorno de desarrollo» durante el incidente de agosto.
El CEO de LastPass, Karim Toubba, dijo en una publicación de blog que en los ataques posteriores, los piratas informáticos comprometieron una copia de una copia de seguridad que contenía bóvedas de contraseñas de clientes. No está claro cuándo se realizó la copia de seguridad. Los datos se almacenan en un «formato binario patentado» y contienen datos no cifrados, como direcciones URL de sitios web, y datos cifrados, como nombres de usuario y contraseñas. La empresa no proporcionó detalles técnicos sobre el formato propietario. Incluso si el cifrado de la bóveda de LastPass es fuerte, los piratas informáticos intentarán forzar la fuerza bruta para acceder a los tesoros de contraseñas tratando de adivinar las «contraseñas maestras” que los usuarios establecieron para proteger sus datos. Con una contraseña maestra segura, esto puede no ser posible, pero las contraseñas maestras débiles podrían estar en riesgo. de ser derrotados. Y dado que las bóvedas ya han sido robadas, los usuarios de LastPass no pueden detener estos ataques de fuerza bruta cambiando su contraseña maestra. En su lugar, los usuarios deben confirmar que han implementado la autenticación de dos factores en tantas de sus cuentas como deseen. pueden, por lo que incluso si sus contraseñas se ven comprometidas, los atacantes aún no pueden ingresar. Y los clientes de LastPass deberían considerar cambiar las contraseñas en sus cuentas más valiosas y confidenciales.