Lo que los analistas observaron a partir del 26 de febrero fue algo que nunca antes habían visto. El cibergrupo ruso APT 29, adscrito al servicio secreto extranjero SWR, envía un correo electrónico de phishing en alemán. El objetivo del ataque de espionaje son los partidos alemanes.

Ambos son nuevos, el lenguaje y el objetivo. la empresa de seguridad informática Mandiant en un informe escribe. Porque el grupo APT 29 también bajo el nombre de Cozy Bear conocido, está interesado principalmente en la información diplomática. En el pasado, ha utilizado a menudo sus acciones para espiar a ministerios, embajadas o diplomáticos de Asuntos Exteriores.

Por ejemplo, cuando Ucrania lanzó su tan esperada contraofensiva en mayo de 2023, el APT 29 apuntó a un gran número de misiones diplomáticas en Kiev, incluidas incluso aliadas de Rusia. Yo fui según Mandiant presumiblemente para apoyar al SWR con información sobre esta importante fase de la guerra. En una campaña, APT 29 intentó atraer a diplomáticos extranjeros en Ucrania a un sitio web infectado con un anuncio falso de un BMW.

El correo electrónico estaba dirigido a varios partidos alemanes.

En la ola de phishing que Mandiant ahora está haciendo pública, APT 29 envió una invitación falsa de la CDU a una cena el 1 de marzo. El correo electrónico contiene una solicitud para completar un cuestionario y enlaces al sitio web del atacante. A partir de ahí, se intentó instalar malware en el ordenador de la persona objetivo. El texto alemán del correo electrónico está redactado de forma un tanto torpe.

El hecho de que el texto esté escrito en alemán dice algo sobre el objetivo de la operación de espionaje. Mientras que los correos electrónicos anteriores estaban dirigidos al cuerpo diplomático internacional con sus textos en inglés, aquí los políticos o representantes de partidos alemanes están claramente en el punto de mira de los espías rusos. Según Mandiant, los destinatarios del correo electrónico pertenecen a varios partidos alemanes. Cuando se le preguntó, la empresa de seguridad no quiso decir exactamente cuáles. Pero está claro que la atención no se centró sólo en la CDU.

Tampoco está claro exactamente qué información buscaba APT 29. «No podemos decir de manera concluyente qué se debe lograr con la operación en su conjunto», dice Dan Black de Mandiant al NZZ. Sin embargo, es difícil imaginar que el SWR quisiera obtener información confidencial para luego publicarla en una campaña llamada hack-and-leak para crear opinión pública. En marzo, una operación de información rusa causó revuelo en Alemania. una conversación intervenida entre oficiales de la Bundeswehr ha sido publicado.

En cambio, APT 29 es considerado un grupo que piensa a muy largo plazo. «Cuando irrumpen en una red de TI, quieren entenderla para poder volver más tarde tranquilamente», afirma el analista Black. En el pasado, el APT 29 llevó a cabo a menudo operaciones extremadamente complejas. Es conocido Ataque a la empresa de software Solarwinds, en el que los espías rusos lograron penetrar en 2020 varias redes bien protegidas de la administración federal estadounidense mediante una actualización de software manipulada.

El nuevo objetivo de APT 29 refleja el interés del Kremlin

No es casualidad que el servicio de inteligencia exterior ruso esté ahora interesado en partidos concretos. Actualmente no hay tarea más importante para los servicios de inteligencia rusos fuera de Ucrania que observar la dinámica política en Occidente, dice el analista Black de Mandiant. El grupo APT 29 es muy flexible y se adapta a los puntos calientes de la política rusa. «Si el APT 29 tiene un nuevo objetivo, eso refleja en gran medida el interés de las autoridades superiores del gobierno ruso».

Dado el debate alemán sobre el apoyo a Ucrania, el interés de Rusia parece lógico. Las acciones cautelosas del Canciller Olaf Scholz y las críticas de la CDU al gobierno están jugando a favor de Rusia. Por lo tanto, para el Kremlin es de suma importancia qué posiciones prevalecen dentro de los partidos.

Pero las actividades del servicio secreto exterior ruso probablemente no se limitarán en el futuro sólo a partidos en Alemania. Basándose en observaciones anteriores, Mandiant supone que el APT 29 también podría atacar a partidos u organizaciones no gubernamentales de otros países. En muchos estados occidentales, las discusiones políticas internas sobre Ucrania probablemente sean de interés para Moscú.

La administración Biden advirtió el martes a los gobernadores del país que las empresas de agua potable y aguas residuales en sus estados se enfrentan a “ataques cibernéticos incapacitantes” por parte de naciones extranjeras hostiles que tienen como objetivo operaciones de plantas de misión crítica.

“Los ciberataques incapacitantes están afectando los sistemas de agua y aguas residuales en todo Estados Unidos”, escribieron en una carta Jake Sullivan, asistente del presidente para Asuntos de Seguridad Nacional, y Michael S. Regan, administrador de la Agencia de Protección Ambiental. «Estos ataques tienen el potencial de alterar el vital sustento del agua potable limpia y segura, además de imponer costos significativos a las comunidades afectadas».

La carta citaba dos recientes amenazas de piratería informática que han enfrentado las empresas de agua por parte de grupos respaldados por países extranjeros hostiles. Un incidente ocurrió cuando piratas informáticos respaldados por el gobierno de Irán desactivaron equipos de operaciones utilizados en instalaciones de agua que todavía usaban una contraseña de administrador predeterminada conocida públicamente. La carta no identificaba la instalación por su nombre, pero los detalles incluidos en un aviso vinculado vinculaban el ataque con uno que afectó a la Autoridad Municipal del Agua de Aliquippa en el oeste de Pensilvania en noviembre pasado. En ese caso, los piratas informáticos comprometieron un controlador lógico programable fabricado por Unitronics e hicieron que la pantalla del dispositivo mostrara un mensaje antiisraelí. Los funcionarios de servicios públicos respondieron cerrando temporalmente una bomba que suministraba agua potable a los municipios locales.

La segunda amenaza fue revelada públicamente el mes pasado por la Agencia de Seguridad de Infraestructura y Ciberseguridad. Los funcionarios dijeron que un grupo de piratas informáticos respaldado por el gobierno chino y rastreado bajo el nombre Volt Typhoon estaba manteniendo un punto de apoyo dentro de las redes de múltiples organizaciones de infraestructura crítica, incluidas aquellas en los sectores de comunicaciones, energía, transporte y agua y aguas residuales. El aviso decía que los piratas informáticos se estaban posicionando previamente dentro de entornos de TI para permitir operaciones de interrupción en múltiples sectores de infraestructura crítica en caso de una crisis o conflicto con Estados Unidos. Los piratas informáticos, dijeron los funcionarios, habían estado presentes en algunas de las redes durante hasta cinco años.

«Los sistemas de agua potable y aguas residuales son un objetivo atractivo para los ciberataques porque son un sector de infraestructura crítica y vital, pero a menudo carecen de los recursos y la capacidad técnica para adoptar prácticas rigurosas de ciberseguridad», escribieron Sullivan y Regan en la carta del martes. Continuaron instando a todas las instalaciones de agua a seguir medidas de seguridad básicas, como restablecer las contraseñas predeterminadas y mantener el software actualizado. Se vincularon a esta lista de acciones adicionales, publicada por CISA y a la orientación y herramientas proporcionadas conjuntamente por CISA y la EPA. Continuaron proporcionando una lista de recursos de ciberseguridad disponibles en empresas del sector privado.

La carta extendía una invitación a los secretarios del gobernador de cada estado para que asistieran a una reunión para discutir una mejor seguridad de la infraestructura crítica del sector hídrico. También anunció que la EPA está formando un Grupo de Trabajo de Ciberseguridad del Sector del Agua para identificar vulnerabilidades en los sistemas de agua. La reunión virtual tendrá lugar el jueves.

“La EPA y el NSC se toman muy en serio estas amenazas y continuarán asociándose con los líderes estatales de medio ambiente, salud y seguridad nacional para abordar el riesgo generalizado y desafiante de los ataques cibernéticos a los sistemas de agua”, dijo Regan en una declaración separada.

La administración Biden está pidiendo a los estados que refuercen la seguridad de los sistemas de agua y aguas residuales, advirtiendo que las empresas de servicios públicos en todo el país están siendo blanco de “ataques cibernéticos incapacitantes”.

En una carta Enviado a todos los gobernadores de Estados Unidos el martes, la Casa Blanca y la Agencia de Protección Ambiental (EPA) citaron amenazas en curso de piratas informáticos vinculados con los gobiernos iraní y chino, advirtiendo que ataques similares podrían interrumpir el acceso al agua potable e “imponer costos significativos a las comunidades afectadas”. .”

Los secretarios de Medio Ambiente, Salud y Seguridad Nacional han sido invitados a una reunión el 21 de marzo discutir los requisitos de salvaguardia para proteger la infraestructura hídrica crítica contra ataques cibernéticos. Además, la EPA está formando un Grupo de Trabajo sobre Ciberseguridad del Sector del Agua para identificar vulnerabilidades y aprovechar las recomendaciones formuladas durante la próxima reunión.

«Los sistemas de agua potable y aguas residuales son un objetivo atractivo para los ciberataques porque son un sector de infraestructura crítica vital, pero a menudo carecen de los recursos y la capacidad técnica para adoptar prácticas rigurosas de ciberseguridad», se lee en la carta firmada por el asesor de seguridad nacional Jake Sullivan y el administrador de la EPA, Michael Regan. .

La carta pide a los estados que se aseguren de que sus sistemas de agua designados hayan sido evaluados en busca de vulnerabilidades, señalando una lista de acciones recomendadas por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) que pueden ayudar a mejorar la seguridad. “En muchos casos, ni siquiera se aplican precauciones básicas de ciberseguridad, como restablecer las contraseñas predeterminadas o actualizar el software para abordar vulnerabilidades conocidas, y pueden significar la diferencia entre seguir como siempre y un ciberataque disruptivo”, advierte la carta.

Los piratas informáticos que se cree que están afiliados al gobierno iraní llevaron a cabo ataques contra Instalaciones de agua de EE. UU. en noviembre eso no había cambiado la contraseña de fabricación predeterminada en la tecnología operativa común que estaban usando. La funcionaria de seguridad nacional de la Casa Blanca, Anne Neuberger, dijo que el incidente fue un llamado a reforzar la seguridad en torno a los servicios públicos, con la Sanciones del Tesoro de EE.UU. Seis oficiales de las Fuerzas Armadas iraníes responsables de los ataques de febrero.

La carta también hacía referencia a las amenazas planteadas por Volt Typhoon, un grupo patrocinado por el estado chino que estaba revelado en febrero tener información comprometida sobre los sistemas de agua potable de EE. UU.

La Agencia de Seguridad Nacional de EE. UU. ha confirmado que los piratas informáticos que explotan fallas en el dispositivo VPN empresarial ampliamente utilizado de Ivanti han apuntado a organizaciones de todo el sector de defensa de EE. UU.

El portavoz de la NSA, Edward Bennett, confirmó en una declaración enviada por correo electrónico a TechCrunch el viernes que la agencia de inteligencia estadounidense, junto con sus homólogos interinstitucionales, está «siguiendo y siendo consciente del amplio impacto de la reciente explotación de los productos Ivanti, incluido el [sic] Sector de defensa estadounidense”.

«El [NSA’s] El Centro de Colaboración en Ciberseguridad continúa trabajando con nuestros socios para detectar y mitigar esta actividad”, añadió el portavoz.

La confirmación de que la NSA está rastreando estos ciberataques se produce días después de que Mandiant informara que presuntos piratas informáticos de espionaje chinos han realizado “intentos masivos” para explotar múltiples vulnerabilidades que afectan a Ivanti Connect Secure, el popular software VPN de acceso remoto utilizado por miles de corporaciones y grandes organizaciones en todo el mundo.

Mandiant dijo a principios de esta semana que los piratas informáticos respaldados por China, rastreados como un grupo de amenazas al que llama UNC5325, se habían dirigido a organizaciones de una variedad de industrias. Esto incluye el sector base industrial de defensa de Estados Unidos, una red mundial de miles de organizaciones del sector privado que proporcionan equipos y servicios al ejército estadounidense, dijo Mandiant, citando hallazgos anteriores de la firma de seguridad Volexity.

En su análisis, Mandiant dijo que UNC5325 demuestra un “conocimiento significativo” del dispositivo Ivanti Connect Secure y ha empleado técnicas de supervivencia (el uso de herramientas y características legítimas que ya se encuentran en el sistema objetivo) para evadir mejor la detección, Mandiant dicho. Los piratas informáticos respaldados por China también han implementado un nuevo malware «en un intento de permanecer integrado en los dispositivos Ivanti, incluso después de restablecimientos de fábrica, actualizaciones del sistema y parches».

Esto se hizo eco en un aviso publicado por la agencia de ciberseguridad estadounidense CISA el jueves, que advirtió que los piratas informáticos que explotan los dispositivos VPN vulnerables de Ivanti pueden mantener la persistencia a nivel de raíz incluso después de realizar restablecimientos de fábrica. La agencia federal de ciberseguridad dijo que sus propias pruebas independientes mostraron que los atacantes exitosos son capaces de engañar a la herramienta Integrity Checker de Ivanti, lo que puede resultar en una «falla al detectar el compromiso».

En respuesta a los hallazgos de CISA, el director de seguridad de la información de campo de Ivanti, Mike Riemer, minimizó los hallazgos de CISA y le dijo a TechCrunch que Ivanti no cree que las pruebas de CISA funcionen en un entorno de cliente real. Riemer agregó que Ivanti «no tiene conocimiento de ningún caso de persistencia exitosa de actores de amenazas luego de la implementación de las actualizaciones de seguridad y restablecimientos de fábrica recomendados por Ivanti».

Aún se desconoce exactamente cuántos clientes de Ivanti se ven afectados por la explotación generalizada de las vulnerabilidades de Connect Secure, que comenzó en enero.

Akamai dijo en un análisis publicado la semana pasada que los piratas informáticos lanzan aproximadamente 250.000 intentos de explotación cada día y se han dirigido a más de 1.000 clientes.

y dicen que varios grupos de hackers respaldados por el estado están utilizando las herramientas de IA generativa (GAI) de este último para reforzar los ciberataques. La pareja sugiere que una nueva investigación detalla por primera vez cómo los piratas informáticos vinculados a gobiernos extranjeros están haciendo uso de GAI. Los grupos en cuestión tienen vínculos con China, Rusia, Corea del Norte e Irán.

Según las empresas, los actores estatales están utilizando GAI para depurar códigos, buscar información de fuente abierta para investigar objetivos, desarrollar técnicas de ingeniería social, redactar correos electrónicos de phishing y traducir textos. OpenAI (que impulsa los productos GAI de Microsoft como) dice que cerró el acceso de los grupos a sus sistemas GAI después de descubrir que estaban usando sus herramientas.

El notorio grupo ruso Forest Blizzard (más conocido como APT 12) fue uno de los actores estatales que se dice que utilizó la plataforma OpenAI. Los piratas informáticos utilizaron herramientas OpenAI «principalmente para la investigación de código abierto sobre protocolos de comunicación por satélite y tecnología de imágenes de radar, así como para ayudar con tareas de secuencias de comandos».

Como parte de sus esfuerzos de ciberseguridad, rastrea más de 300 grupos de piratas informáticos, incluidos 160 actores de estados-nación. Compartió su conocimiento sobre ellos con OpenAI para ayudar a detectar a los piratas informáticos y cerrar sus cuentas.

OpenAI dice que invierte en recursos para identificar e interrumpir las actividades de los actores de amenazas en sus plataformas. Su personal utiliza una serie de métodos para investigar el uso de sus sistemas por parte de los piratas informáticos, como emplear sus propios modelos para seguir pistas, analizar cómo interactúan con las herramientas OpenAI y determinar sus objetivos más amplios. Una vez que detecta a estos usuarios ilícitos, OpenAI dice que interrumpe su uso de la plataforma mediante el cierre de sus cuentas, la cancelación de servicios o la minimización de su acceso a los recursos.

Hoy en día, se habla por todas partes de las promesas y los peligros de la inteligencia artificial. Pero para muchas familias de bajos ingresos, comunidades de color, veteranos militares, personas con discapacidades y comunidades de inmigrantes, la IA es un tema de segundo plano. Sus preocupaciones cotidianas giran en torno a cuidar su salud, navegar la economía, buscar oportunidades educativas y defender la democracia. Pero sus preocupaciones también se ven amplificadas por los ciberataques avanzados, persistentes y dirigidos.

Las operaciones cibernéticas son implacables, crecen en escala y exacerban las desigualdades existentes en atención médica, oportunidades económicas, acceso a la educación y participación democrática. Y cuando estos pilares de la sociedad se vuelven inestables, las consecuencias se extienden a las comunidades nacionales y globales. En conjunto, los ciberataques tienen impactos graves y de largo plazo en las comunidades que ya se encuentran al margen de la sociedad. Estos ataques no son sólo una preocupación tecnológica: representan una creciente crisis de derechos civiles, que desmantela de manera desproporcionada la seguridad de los grupos vulnerables y refuerza las barreras sistémicas del racismo y el clasismo. Actualmente, Estados Unidos carece de una respuesta asertiva para disuadir la continua militarización de las operaciones cibernéticas y para garantizar el acceso digital, la equidad, la participación y la seguridad de las comunidades marginadas.

Cuidado de la salud

Los ciberataques a hospitales y organizaciones de atención médica se duplicaron con creces en 2023 y afectaron a más de 39 millones de personas en la primera mitad de 2023. Un ciberataque a finales de noviembre en el Centro Médico Hillcrest en Tulsa, Oklahoma, provocó el cierre de todo el sistema, lo que provocó que las ambulancias desviar y cancelar las cirugías que salvan vidas. Estos ataques afectan la confianza de los pacientes en los sistemas de atención médica, lo que puede hacerlos más reacios a buscar atención, poniendo en peligro aún más la salud y la seguridad de poblaciones que ya son vulnerables.

La escala y prevalencia de estos ataques debilitan la confianza pública, especialmente entre las comunidades de color que ya tienen temores profundamente arraigados sobre nuestros sistemas de atención médica. El ahora condenado Estudio sobre sífilis no tratada en Tuskegee, donde los investigadores negaron tratamiento a hombres negros sin su conocimiento o consentimiento para observar los efectos a largo plazo de la enfermedad, terminó hace sólo 52 años. Sin embargo, el estudio creó un legado de sospecha y desconfianza hacia la comunidad médica que continúa hoy en día, lo que lleva a una disminución en la esperanza de vida de los hombres negros y a una menor participación en la investigación médica entre los estadounidenses negros. El hecho agravante de que las mujeres negras tienen entre tres y cuatro veces más probabilidades, y las mujeres indias americanas y nativas de Alaska tienen dos veces más probabilidades, de morir por causas relacionadas con el embarazo que las mujeres blancas, sólo aumenta la desconfianza.

La erosión de la confianza también se extiende a las personas de bajos ingresos. Más de un millón de pacientes jóvenes de la Lurie Children’s Surgical Foundation en Chicago vieron sus nombres, números de seguro social y fechas de nacimiento expuestos en una violación en agosto de 2023. El hospital trata a más niños asegurados por Medicaid (un indicador de dificultades económicas) que cualquier otro hospital de Illinois. Una vez violados, los datos personales de un niño podrían usarse para cometer fraude de identidad, lo que daña gravemente el crédito, pone en peligro la ayuda financiera para la educación y niega oportunidades de empleo. Si bien es difícil para cualquiera, los niños de hogares financieramente inseguros son los menos preparados para absorber o superar estos reveses económicos.

Oportunidad económica

El robo de identidad no es la única forma en que los ciberataques aprovechan los tiempos difíciles. Los ciberataques también atacan a personas financieramente vulnerables y se están volviendo más sofisticados. En Maryland, los piratas informáticos atacaron las tarjetas de Transferencia Electrónica de Beneficios, utilizadas para proporcionar fondos de asistencia pública para alimentos, para robar más de $2 millones en 2022 y los primeros meses de 2023. Eso es un aumento de más del 2,100 por ciento en comparación con los $90,000 de fondos EBT robados. en 2021. El límite de ingresos de Maryland para calificar para el programa de asistencia alimentaria del gobierno es de $39,000 para una familia de cuatro en 2024, y solo si tienen menos de $2,001 en su cuenta bancaria. A diferencia de una tarjeta de crédito, que protege legalmente contra cargos fraudulentos, las tarjetas EBT no tienen protección contra fraude. Los esfuerzos para ayudar a las víctimas están plagados de trámites burocráticos: los reembolsos tienen un límite de dos meses de beneficios robados, y sólo dentro de un período de tiempo específico.

Los ciberdelincuentes también se dirigen a poblaciones vulnerables, especialmente a los grupos de mayor edad. Desde el último informe de 2019, el 40 por ciento de los estadounidenses desi-americanos asiáticos de las islas del Pacífico (APIDA) de 50 años o más han informado haber experimentado fraude financiero, y un tercio de esas víctimas perdió un promedio de $15,000. Desde 2018 hasta 2023, las llamadas automáticas de estafas a la embajada china entregaron mensajes automatizados y combinaron la suplantación de identidad de llamadas, un método mediante el cual los estafadores disfrazan la información que muestran en sus teléfonos, dirigidos a las comunidades de inmigrantes chinos. Esto resultó en más de 350 víctimas en 27 estados de EE. UU. y pérdidas financieras por un promedio de 164.000 dólares por víctima para un total de 40 millones de dólares. Y durante cinco años, esta estafa continuó. A medida que estas estafas evolucionan, los grupos ahora enfrentan llamadas asistidas por IA cada vez más sofisticadas, donde los estafadores usan la tecnología para imitar de manera convincente las voces de sus seres queridos, explotando aún más las vulnerabilidades, particularmente entre los adultos mayores, muchos de los cuales viven con ingresos fijos o viven con inseguridad económica.

Si bien los movimientos sociales han luchado por promover la equidad económica, los ciberdelincuentes socavan estos esfuerzos al exacerbar las vulnerabilidades financieras. Desde el movimiento La Causa de la década de 1960 que defendía los derechos de los trabajadores migrantes hasta la Campaña de los Pobres que se movilizaba a través de líneas raciales, los activistas han trabajado para desmantelar barreras sistémicas, poner fin a la pobreza y presionar por salarios justos. Sin embargo, los ataques actuales a los sistemas financieros a menudo apuntan a los mismos grupos que estos movimientos pretenden empoderar, perpetuando las disparidades contra las que han luchado sus defensores. Las estafas digitales y los incidentes de fraude afectan desproporcionadamente a quienes están menos preparados para recuperarse, incluidas las víctimas de desastres naturales, las personas con discapacidades, los adultos mayores, los adultos jóvenes, los veteranos militares, las comunidades de inmigrantes y las familias de bajos ingresos. Al robar recursos esenciales, los ciberdelincuentes agravan las dificultades de quienes ya luchan por llegar a fin de mes o de quienes atraviesan algunas de las peores dificultades de sus vidas, empujando a los grupos a un nivel más marginal.

Acceso a la educación

La educación es otra área donde el cibercrimen se ha disparado. Uno de los peores ataques de 2023 aprovechó una falla en un software de transferencia de archivos llamado MOVEit que múltiples entidades gubernamentales, organizaciones sin fines de lucro y otras organizaciones utilizan para administrar datos en todos los sistemas. Esto incluye el National Student Clearinghouse, que presta servicios a 3.600 universidades, que representan el 97 por ciento de los estudiantes universitarios en los EE. UU., para proporcionar información de verificación a instituciones académicas, proveedores de préstamos estudiantiles y empleadores.

Los ataques a los sistemas educativos son devastadores en todos los niveles. Uno de los principales objetivos de los ataques de ransomware el año pasado fueron las escuelas K-12. Si bien los datos completos aún no están disponibles, en agosto de 2023 los ataques de ransomware (en los que los piratas informáticos bloquean los datos de una organización y exigen un pago por su liberación) afectaron al menos a 48 distritos escolares de EE. UU., tres más que en todo 2022. Las escuelas ya tienen recursos limitados. y la ciberseguridad puede ser costosa, por lo que muchos tienen pocas defensas contra ataques cibernéticos sofisticados.

Deux jours après l’annonce d’une cyberattaque qui a touché les deux principaux opérateurs qui assurent la gestion du tiers payant pour les mutuelles, le parquet de Paris a décidé d’ouvrir une enquête sur l’une des fuites les plus massives jamais observées en Francia. Las investigaciones quedaron a cargo de la Brigada de Delitos Cibernéticos.

En una carta de notificación de violación de datos presentada ante los reguladores este fin de semana, 23andMe reveló que los piratas informáticos comenzaron a irrumpir en las cuentas de los clientes en abril de 2023 y continuaron durante la mayor parte de septiembre.

En otras palabras, durante aproximadamente cinco meses, 23andMe no detectó una serie de ataques cibernéticos en los que los piratas informáticos intentaban (y a menudo tenían éxito) acceder por fuerza bruta a las cuentas de los clientes, según un documento legalmente requerido que 23andMe envió al fiscal general de California.

Meses después de que los piratas informáticos comenzaran a atacar a los clientes de 23andMe, la compañía reveló que los piratas informáticos habían robado los datos genéticos y de ascendencia de 6,9 ​​millones de usuarios, o aproximadamente la mitad de sus clientes.

Según la compañía, 23andMe se dio cuenta de la violación en octubre cuando los piratas informáticos anunciaron los datos robados en publicaciones publicadas en el subreddit no oficial de 23andMe y por separado en un famoso foro de piratería. 23andMe tampoco se dio cuenta de que los piratas informáticos anunciaron los datos robados en otro foro de piratería meses antes, en agosto, como informó TechCrunch.

Como admitió más tarde 23andMe, los piratas informáticos pudieron acceder a las cuentas de alrededor de 14.000 clientes mediante fuerza bruta en cuentas que utilizaban contraseñas ya hechas públicas y asociadas con direcciones de correo electrónico de otras infracciones. Con acceso a esas cuentas, los piratas informáticos robaron datos de 6,9 ​​millones de clientes a través de la función DNA Relatives, que permite a los clientes compartir automáticamente algunos de sus datos con otras personas que 23andMe clasifica como familiares. Los datos robados incluían el nombre de la persona, el año de nacimiento, las etiquetas de relación, el porcentaje de ADN compartido con familiares, informes de ascendencia y la ubicación autoinformada.

Los portavoces de 23andMe no respondieron de inmediato a la solicitud de comentarios de TechCrunch, que incluía preguntas sobre cómo la violación pasó desapercibida durante tanto tiempo.

Después de que se notificó a los clientes que eran víctimas de la infracción, varias víctimas presentaron demandas colectivas contra 23andMe en los EE. UU. y Canadá, a pesar de que la compañía intentó dificultar que las víctimas se unieran en acciones legales cambiando sus términos de servicio. . Los abogados de violación de datos calificaron los cambios en los términos de servicio como “cínicos”, “interesados” y “un intento desesperado” de proteger a 23andMe contra sus propios clientes.

En una de las demandas, 23andMe respondió culpando a los usuarios por supuestamente utilizar contraseñas reutilizadas.

«Los usuarios reciclaron negligentemente y no actualizaron sus contraseñas después de estos incidentes de seguridad pasados, que no están relacionados con 23andMe», afirmó 23andMe en una carta dirigida a las víctimas de la violación. «El incidente no fue el resultado de la supuesta falta de mantenimiento de medidas de seguridad razonables por parte de 23andMe».

Es probable que las amenazas de ciberactividad maliciosa aumenten a medida que los estados-nación, los delincuentes con motivación financiera y los novatos incorporen cada vez más la inteligencia artificial en sus rutinas, dijo la principal agencia de inteligencia del Reino Unido.

La evaluación, de la Sede de Comunicaciones del Gobierno del Reino Unido, predijo que el ransomware será la mayor amenaza que recibirá un impulso de la IA en los próximos dos años. La IA reducirá las barreras de entrada, un cambio que traerá una oleada de nuevos participantes en la empresa criminal. Los actores de amenazas más experimentados, como los Estados-nación, las empresas comerciales que les prestan servicios y los grupos criminales con motivación financiera, probablemente también se beneficiarán, ya que la IA les permite identificar vulnerabilidades y eludir las defensas de seguridad de manera más eficiente.

«El uso emergente de la IA en los ciberataques es evolutivo, no revolucionario, lo que significa que mejora las amenazas existentes como el ransomware, pero no transforma el panorama de riesgos en el corto plazo», afirmó Lindy Cameron, directora ejecutiva del Centro Nacional de Seguridad Cibernética del GCHQ. Cameron y otros funcionarios de inteligencia del Reino Unido dijeron que su país debe reforzar las defensas para contrarrestar la creciente amenaza.

La evaluación, que se publicó el miércoles, se centró en el efecto que probablemente tendrá la IA en los próximos dos años. Las posibilidades de que la IA aumente el volumen y el impacto de los ciberataques en ese período se describieron como “casi seguras”, la calificación de confianza más alta del GCHQ. Otras predicciones más específicas catalogadas como casi seguras fueron:

• La IA mejora las capacidades de reconocimiento e ingeniería social, haciéndolas más efectivas y más difíciles de detectar.
• Ataques más impactantes contra el Reino Unido a medida que los actores de amenazas utilizan la IA para analizar los datos exfiltrados de forma más rápida y eficaz y los utilizan para entrenar modelos de IA.
• Más allá del umbral de dos años, la mercantilización de la IA mejora las capacidades de los actores estatales y con motivación financiera
• La tendencia de los delincuentes de ransomware y otros tipos de actores de amenazas que ya utilizan la IA continuará en 2025 y más allá.

El área de mayor impacto de la IA, según la evaluación del miércoles, sería la ingeniería social, particularmente para los actores menos calificados.

«La IA generativa (GenAI) ya se puede utilizar para permitir una interacción convincente con las víctimas, incluida la creación de documentos señuelo, sin los errores de traducción, ortografía y gramaticales que a menudo revelan phishing», escribieron funcionarios de inteligencia. «Es muy probable que esto aumente en los próximos dos años a medida que los modelos evolucionen y aumente la aceptación».

La evaluación agrega: “Hasta 2025, GenAI y los grandes modelos de lenguaje (LLM) harán que sea difícil para todos, independientemente de su nivel de comprensión de la seguridad cibernética, evaluar si una solicitud de restablecimiento de contraseña o correo electrónico es genuina, o identificar phishing o suplantación de identidad. o intentos de ingeniería social”.

Se insta a los clientes de Citrix a aplicar parches mientras una banda de ransomware se atribuye el mérito de piratear empresas de renombre

Los investigadores de seguridad dicen Los piratas informáticos están explotando en masa una vulnerabilidad de clasificación crítica en los sistemas Citrix NetScaler para lanzar ataques cibernéticos devastadores contra organizaciones de renombre en todo el mundo.

Estos ciberataques han incluido hasta ahora al gigante aeroespacial Boeing; el banco más grande del mundo, ICBC; uno de los operadores portuarios más grandes del mundo, DP World; y el bufete de abogados internacional Allen & Overy, según los informes.

Miles de otras organizaciones siguen sin parches contra la vulnerabilidad, rastreada oficialmente como CVE-2023-4966 y denominada «CitrixBleed». La mayoría de los sistemas afectados se encuentran en América del Norte, según la organización sin fines de lucro Shadowserver Foundation. La agencia de ciberseguridad del gobierno de EE. UU., CISA, también hizo sonar la alarma en un aviso instando a las agencias federales a corregir la falla activamente explotada.

Esto es lo que sabemos hasta ahora.

¿Qué es CitrixBleed?

El 10 de octubre, el fabricante de equipos de red Citrix reveló la vulnerabilidad que afecta a las versiones locales de sus plataformas NetScaler ADC y NetScaler Gateway, que grandes empresas y gobiernos utilizan para la entrega de aplicaciones y la conectividad VPN.

La falla se describe como una vulnerabilidad de divulgación de información confidencial que permite a atacantes remotos no autenticados extraer grandes cantidades de datos de la memoria de un dispositivo Citrix vulnerable, incluidos tokens de sesión confidenciales (de ahí el nombre «CitrixBleed»). Explotar el error requiere poco esfuerzo o complejidad, lo que permite a los piratas informáticos secuestrar y utilizar tokens de sesión legítimos para comprometer la red de una víctima sin necesidad de una contraseña ni de dos factores.

Citrix lanzó parches, pero una semana después, el 17 de octubre, actualizó su aviso para informar que había observado explotación en la naturaleza.

Las primeras víctimas incluyeron servicios profesionales, tecnología y organizaciones gubernamentales, según el gigante de respuesta a incidentes Mandiant, que dijo que comenzó a investigar después de descubrir «múltiples casos de explotación exitosa» a fines de agosto, antes de que Citrix pusiera los parches a disposición.

Robert Knapp, jefe de respuesta a incidentes de la firma de ciberseguridad Rapid7, que también comenzó a investigar el error después de detectar una posible explotación del mismo en la red de un cliente, dijo que la compañía también ha observado atacantes dirigidos a organizaciones de atención médica, manufactura y comercio minorista.

«Los equipos de respuesta a incidentes de Rapid7 han observado tanto movimiento lateral como acceso a datos en el curso de nuestras investigaciones», dijo Knapp, sugiriendo que los piratas informáticos pueden obtener un acceso más amplio a la red y los datos de las víctimas después del compromiso inicial.

Víctimas de renombre

La empresa de ciberseguridad ReliaQuest dijo la semana pasada que tiene evidencia de que al menos cuatro grupos de amenazas, que no nombró, están aprovechando CitrixBleed, y al menos un grupo automatiza el proceso de ataque.

Se cree que uno de los actores de la amenaza es la banda de ransomware LockBit, vinculada a Rusia, que ya se ha atribuido la responsabilidad de varias infracciones a gran escala que se cree que están asociadas con CitrixBleed.

El investigador de seguridad Kevin Beaumont escribió en una publicación de blog el martes que la banda LockBit hackeó la semana pasada la sucursal estadounidense del Industrial and Commercial Bank of China (ICBC), que se dice es el mayor prestamista del mundo por activos, comprometiendo una caja Citrix Netscaler sin parches. La interrupción interrumpió la capacidad del gigante bancario para liquidar operaciones. Según Bloomberg el martes, la empresa aún tiene que restablecer sus operaciones normales.

ICBC, que supuestamente pagó la demanda de rescate de LockBit, se negó a responder las preguntas de TechCrunch, pero dijo en un comunicado en su sitio web que «experimentó un ataque de ransomware» que «provocó la interrupción de ciertos sistemas».

Un representante de LockBit dijo a Reuters el lunes que ICBC “pagó un rescate – trato cerrado”, pero no proporcionó pruebas de su afirmación. LockBit también dijo al grupo de investigación de malware vx-underground que ICBC pagó un rescate, pero se negó a decir cuánto.

Beaumont dijo en una publicación en Mastodon que Boeing también tenía un sistema Citrix Netscaler sin parches en el momento de la violación de LockBit, citando datos de Shodan, un motor de búsqueda de bases de datos y dispositivos expuestos.

El portavoz de Boeing, Jim Proulx, dijo anteriormente a TechCrunch que la compañía está «consciente de un incidente cibernético que afecta a elementos de nuestro negocio de repuestos y distribución», pero no quiso comentar sobre la supuesta publicación de datos robados por parte de LockBit.

Allen & Overy, una de las firmas de abogados más grandes del mundo, también estaba ejecutando un sistema Citrix afectado en el momento de su compromiso, señaló Beaumont. LockBit agregó tanto a Boeing como a Allen & Overy a su sitio de filtración en la web oscura, que las bandas de ransomware suelen utilizar para extorsionar a las víctimas publicando archivos a menos que las víctimas paguen una demanda de rescate.

La portavoz de Allen & Overy, Debbie Spitz, confirmó que el bufete de abogados experimentó un «incidente de datos» y dijo que estaba «evaluando exactamente qué datos se vieron afectados y estamos informando a los clientes afectados».

La banda de ransomware Medusa también está explotando CitrixBleed para comprometer organizaciones específicas, dijo Beaumont.

«Esperaríamos que CVE-2023-4966 sea una de las vulnerabilidades más explotadas de forma rutinaria a partir de 2023», dijo a TechCrunch la jefa de investigación de vulnerabilidades de Rapid7, Caitlin Condon.