El documento detallado producido por Lab52, el equipo de inteligencia cibernética de S2 Grupo, ofrece un análisis exhaustivo de la actividad de inteligencia de amenazas cibernéticas durante el cuarto trimestre de 2023, proporcionando una visión integral de los incidentes más significativos y las tendencias emergentes que influirán en el panorama de ciberseguridad en 2024. En términos de eventos geopolíticos, el informe destaca los ataques perpetrados por Hamas contra Israel y la subsiguiente respuesta de la Unión Europea, que condenó los ataques de Hamas y expresó su apoyo al derecho de Israel a la autodefensa. Además, se abordan las tensiones asociadas con las negociaciones de adhesión de Ucrania a la UE, especialmente en relación con las complicaciones derivadas de las relaciones entre Hungría y Rusia. En cuanto a los ciberataques registrados durante el trimestre, el informe revela una marcada tendencia hacia el targeting del sector de tecnología de la información y las agencias gubernamentales, indicando un enfoque en sectores estratégicos por parte de los actores de amenazas. Se profundiza en las tendencias de ciber espionaje y hacktivismo, destacando la actividad de grupos patrocinados por estados como APT 28 de Rusia, así como otros provenientes de Corea del Norte, Pakistán e Irán. Específicamente, se describe una campaña de APT 28 que aprovechó la vulnerabilidad de WinRAR para entregar malware dirigido a la infraestructura energética ucraniana a través de correos electrónicos de spear-phishing. La campaña implicó el uso de archivos PDF maliciosos que contenían listas de indicadores de compromiso para ejecutar un script por lotes y PowerShell, estableciendo un shell inverso que otorgaba a los atacantes acceso y credenciales de inicio de sesión en las máquinas comprometidas. Así mismo, se realiza un abordaje sobre diversos ciberataques y campañas de ciberespionaje, incluyendo el importante rol desempeñado por el proveedor de servicios de internet Wancom, que representó el 50% de los registros en el último trimestre según ASN. Se señala que el segundo proveedor más grande fue AS-CHOOPA, cuyos servicios supuestamente fueron utilizados por actores vinculados a China contra el sector de semiconductores en el sudeste asiático, así como por Imperial Kitten, vinculado a Irán, para atacar en el Medio Oriente. Además, se describe una campaña de APT 29 que explotó la vulnerabilidad de JetBrains para comprometer dispositivos y acceder al código fuente, certificados y procesos de compilación de software. Las víctimas no tenían un sector u origen común, lo que indica una amplia gama de objetivos por parte de los grupos de amenazas. En términos de vulnerabilidades destacadas, se identifican problemas que afectan a tecnologías como WebP, Apache Struts 2, Citrix Netscaler y FortiSIEM, subrayando la importancia de abordar estos puntos débiles para mitigar futuros riesgos. Asimismo, se discute el surgimiento de tendencias relacionadas con el ransomware y la inteligencia artificial en el ámbito de la ciberseguridad. Por lo cual, una perspectiva sobre las amenazas esperadas para 2024, se enfatiza en la necesidad de una vigilancia continua y medidas proactivas para hacer frente a la evolución constante del panorama de ciberseguridad. Así, el informe proporciona una visión completa y detallada de la actividad de inteligencia de amenazas cibernéticas durante el cuarto trimestre de 2023, ofreciendo valiosas percepciones que serán cruciales para abordar los desafíos futuros en el campo de la ciberseguridad.

Durante el cuarto trimestre de 2023, el grupo de ciberataque Sandworm, asociado a Rusia, llevó a cabo un ataque cibernético contra una organización de infraestructura crítica en Ucrania, utilizando técnicas innovadoras para impactar sistemas de control industrial. Aprovechando tácticas de «vivir de la tierra», los atacantes accedieron a sistemas OT y utilizaron unidades de servicio de Systemd para persistencia, permitiendo volver a ejecutar GOGETTER tras cada reinicio. En otro incidente, Kaspersky detectó un ataque de malware WebDav-O dirigido a una agencia gubernamental rusa, ampliando investigaciones previas sobre ataques utilizando WebDav-O y Mail-O. Esta actividad de implante, rastreable desde al menos 2018, se dirigía a entidades vinculadas al gobierno bielorruso. Una investigación adicional reveló variantes de malware adicionales y comandos de atacante, incluido el uso de CADDYWIPER para eliminar archivos y particiones. Otra campaña atribuida a ToddyCat involucró ataques de phishing dirigidos a industrias y sectores de telecomunicaciones en Kazajistán, Pakistán, Vietnam y Uzbekistán, aprovechando cargadores y descargadores únicos vinculados a actores de amenazas afiliados a China. El grupo iraní OilRig atacó a entidades gubernamentales y corporativas israelíes con nuevos descargadores, utilizando previamente variantes ODAgent y OilCheck a través de OneDrive y canales C2 basados en correo electrónico. El hacktivismo aumentó en el cuarto trimestre de 2023, especialmente dirigido a Polonia, Lituania y Suecia en medio del conflicto entre Rusia y Ucrania, con grupos adicionales emergiendo durante el conflicto entre Israel y Hamas. Yellow Liderc, un actor iraní, orquestó una campaña contra sectores marítimos y logísticos, utilizando compromisos estratégicos de sitios web e implantación de malware IMAPLoader. Los ataques DDoS se dirigieron principalmente a agencias gubernamentales, energía y sectores de telecomunicaciones, notablemente en países que apoyan a Ucrania. El análisis de publicaciones en la Deep Web reveló importantes brechas, incluida la venta de acceso a una empresa de ciberseguridad de la Unión Europea y una violación del Consejo de Seguridad de las Naciones Unidas que afectó los datos personales de 188,000 individuos. El grupo DeltaBoys continuó vendiendo una base de datos de información personal de ciudadanos españoles, mientras que el cuarto trimestre de 2023 presenció 1097 exfiltraciones de ransomware, con LockBit y ALPHV/BlackCat como principales contribuyentes, a pesar de la interrupción de las actividades de este último. Notablemente, el grupo Cl0p, anteriormente prominente, estuvo ausente en este trimestre. Mientras que las vulnerabilidades publicadas permanecieron estables, las vulnerabilidades críticas disminuyeron año tras año. En un mismo orden de ideas, se identificaron diferentes vulnerabilidades críticas en diversas plataformas y sistemas, siendo una de las más destacadas la CVE-2023-5129, una vulnerabilidad crítica de desbordamiento de búfer en la pila encontrada en el formato de imagen WebP utilizado para comprimir imágenes web. Esta vulnerabilidad afecta a muchas aplicaciones como Chrome, Firefox, Safari y Edge, lo que podría permitir a los atacantes tomar el control de sistemas, ejecutar código arbitrario y acceder a datos de usuario. Otra vulnerabilidad importante fue la CVE-2023-40714 en Fortinet FortiSIEM, que consiste en una inyección de comandos del sistema operativo en las APIs de FortiSIEM que permite la ejecución de código no autorizado. Además, se mencionan vulnerabilidades en Apache Struts 2, F5 BIG-IP y otros productos, destacando la importancia de la gestión proactiva de vulnerabilidades en entornos digitales.

El informe aborda diversas tendencias y temas de ciberseguridad para el año 2024. Se discuten las vulnerabilidades descubiertas en tecnologías ampliamente utilizadas, como F5 BIG-IP y Citrix Netscaler ADC, así como el impacto esperado de las elecciones que tendrán lugar en todo el mundo, particularmente las elecciones en Estados Unidos, en la geopolítica y la seguridad cibernética. Se espera que las amenazas persistentes avanzadas intensifiquen sus esfuerzos para influir en las elecciones, y se pronostica un aumento en los ciberataques dirigidos a la cadena de suministro y a la infraestructura crítica. Además, se espera que la inteligencia artificial juegue un papel cada vez más importante en la ciberseguridad, tanto para detectar amenazas como para mejorar los ataques maliciosos. Al discutirse las tendencias previstas en ciberseguridad para 2024, incluido el aumento de los ciberataques dirigidos a vulnerabilidades en la cadena de suministro, la continuación de los ataques de ransomware y la importancia de la inteligencia artificial en la defensa cibernética, se prevé que los actores estatales se centren en la ciberespionaje y la guerra cibernética, mientras que los grupos de ransomware seguirán siendo una amenaza significativa, especialmente para las pequeñas y medianas empresas. Se espera que la integración de inteligencia artificial en las herramientas de ciberseguridad presente tanto oportunidades como desafíos. En resumen, el informe destaca la importancia de abordar las vulnerabilidades críticas, prepararse para los desafíos y aprovechar las oportunidades que ofrece la inteligencia artificial en el ámbito de la ciberseguridad en el año 2024, y la integración en herramientas de ciberseguridad permitirá una detección más rápida y precisa de amenazas, así como la automatización de respuestas y la mejora de la seguridad en general, al mismo tiempo de enfatizar en la importancia de una gestión proactiva de vulnerabilidades, que incluya la identificación y corrección rápida de posibles puntos débiles en sistemas y aplicaciones.