Reunión regular de especialistas en ciberseguridad, la presentación del Panocrim du Clusif fue un poco especial este año. De hecho, marca el comienzo de las festividades para el aniversario de los 30 años del club, que se ha establecido en el campus cibernético y el trabajo para ser reconocido como una utilidad pública. Pero la retrospectiva 2022 también muestra desarrollos significativos en el espectro de amenazas para un contexto geopolítico tenso.
Ransomware: arrestos y creciente profesionalización
Sin embargo, "todo comenzó bien a principios de 2022", recuerda Gérôme Billois, miembro del CLUSIF y director de la práctica de ciberseguridad en Wavestone. En su informe sobre Ransomware, Evoca los arrestos de los miembros del grupo Revil.. Una operación posible gracias a la cooperación con Rusia. Pero la invasión de Ucrania en febrero de 2022 rompió esta asociación y la actividad de los ransomicianos reanudó su intensidad, especialmente en torno a las autoridades locales y los establecimientos de salud (ver el informe Cybermenaces de la ANSSI).
Excepto por uno de los grupos: Conti. Este último participó desde el comienzo del conflicto para Rusia y uno de los miembros, que no apreciaron este puesto, Entregó mucha información sobre la operación de la pandilla. Los contileaks muestran la creciente profesionalización de los grupos de ransomware: "Esta es una pequeña PYME real con divisiones de recursos humanos, comunicación, capacitación", subraya Gérôme Billois. Conti y sus afiliados lideraron más de cien ataques y habrían recaudado casi $ 180 millones. Posibilidad del calendario, la presentación del panócrim tuvo lugar al mismo tiempo que una conferencia de prensa de Europol y el FBI anunciando el desmantelamiento de actividades de ransomware de colmena.
2022, año de Cyberguerre
Un hecho sorprendente del año pasado, el Panocrim regresó a la participación cibernética de la guerra en Ucrania. Como indica Michel DuBois, director científico y técnico del departamento de ciberseguridad de Los Ángeles, "CyberConflit comenzó antes de la invasión de Ucrania" y para citar las acciones para eliminar varios sitios del gobierno ucraniano. El también regresó a el uso de "limpiaparabrisas"Cargas útiles capaces de eliminar archivos, copias de seguridad, discos de sabotaje (a través de MBR) dentro de la infraestructura crítica. "Los rusos ya estaban presentes en los sistemas de información y tenían acceso al anuncio", dijo el gerente. Los ucranianos también son muy activos con la creación del Ejército de TI, que ha llevado a cabo acciones de los medios como la interrupción de la retransmisión del desfile militar ruso.
En términos más generales, los estados se han convertido en objetivos de grupos cibercriminales. El caso de Costa Rica es indicativo de esta tendencia. El país fue atacado por la pandilla Conti que paralizó los servicios públicos y las administraciones centrales. El gobierno incluso se vio obligado a declarar el estado de emergencia. Perú y otros países latinoamericanos también han sufrido acciones de desestabilización similares. En Europa, Albania Y Montenegro enfrentó oleadas de ataques importantes hasta el punto de solicitar la ayuda del ANSSI y el Comcyber francés.
Los métodos de piratería se adaptan
Otro ángulo de adaptación, los cibercriminales atacan nuevos territorios como la nube o la virtualización. Cada vez más exploits están atacando máquinas virtuales, especialmente en ESXI de VMware. Los entornos en la nube no deben superarse con varios incidentes: Oracle OIC Attachm, fugas de copia de seguridad en Azure, etc.
Incluso las medidas de protección, como la autenticación multifactor (MFA), no es una excepción a los asaltos de los piratas. "Hay varios intentos" reconoce a Gérôme Billois, uno de los cuales funcionó: la fatiga de MFA. Este método consiste en solicitar a un usuario varias veces (hasta cien veces en la noche) por un falso SMS y llevarlo a validar la doble autenticación. Y funciona como se muestra Compromiso de Cisco por la pandilla Yanluowang o las violaciones del código del Grupo $ Lapsus en empresas como Súper O Okta. El hecho es que esto no cuestiona los beneficios de la autenticación de múltiples factores, "es mejor para un MFA atacable que no MFA", resbala al consultor de Wavestone.
2024 OJ, entrenamiento cibernético permanente
Para concluir la presentación del Panocrim, el Clusif invitó a Franz Regul, RSSI de los Juegos Olímpicos de 2024 y Dominique Yang, su asistente, a evocar la ciberseguridad de este evento deportivo planetario. Las cifras tienen algo para marearte, "26,000 medios de comunicación, 45,000 voluntarios, 7,000 puntos de acceso WiFi, 13,000 estaciones de trabajo, 12,000 pantallas, 384,000 km de fibras ópticas, la distancia de la luna de la tierra", indica el RSSI. Para obtener información, subraya que en Tokio en los últimos Juegos Olímpicos, "se han identificado 4.400 millones de eventos de seguridad" y establece que esta cifra "se multiplicará por 8 en 2024".
Por lo tanto, es esencial para prepararse. "La ciberseguridad es un deporte colectivo y no estamos solos", reconoce Franz Regul. Puede confiar en asociaciones sólidas con Cisco y Atos. La compañía francesa de servicios de TI ofrece servicios y suministros de equipos estadounidenses de tecnologías de seguridad cibernética. En total, sesenta personas están trabajando duro para proteger a las SIS y las infraestructuras del evento. Para prepararse, Dominique Yang evoca una estrategia en 4 ejes, "Conciencia y capacitación, esto representa una parte importante de nuestro trabajo hoy. Luego nos centramos en la seguridad por diseño con una evaluación de proveedores, para integrar este requisito tan pronto posible para proyectos ". A diferencia de otros SOC, tenemos un tiempo definido. Es necesario que dentro de dos veces por quince días, seamos los mejores, porque frente a nosotros también habrá el mejor ”, admite humildemente el asistente de RSSI. Finalmente, el último eje resuena como un mantra "prueba, prueba y prueba nuevamente" con pendientes, simulaciones de gestión de crisis, ...
Otras noticias que te pueden interesar