El pasado 30 de julio, el consejo de la Unión Europea anunció que por primera vez que impondría sanciones debido a ciberataques. Las sanciones impuestas incluyen la prohibición de viajar por el territorio de la Unión Europea y la congelación de sus activos financieros. Además, los ciudadanos y entidades europeas tendrán prohibido proporcionales cualquier tipo de fondo a los miembros de la lista.

Los sancionados son tanto personas como organizaciones de China, Rusia y Corea del Norte. Se trata de cuatro ciudadanos rusos, dos chinos, la Compañía de Desarrollo de Ciencia y Tecnología Tianjin Huaying Haitai, la norcoreana Chosun Expo y el Centro Principal de Tecnologías Especiales de Rusia, una unidad que pertenece a la GRU, su agencia de inteligencia exterior. Pero, ¿De qué ciberataques son responsables?

Ciberataques muy conocidos_

La UE les acusa de realizar campañas maliciosas que han causado graves daños contra intereses u organizaciones de los estados miembros o que tenían intención de generarlos. Entre estas campañas se encuentran:

  • Intento de ciberataque contra la Organización para la Prohibición de Armas Químicas (OPCW, por sus siglas en inglés: los Países Bajos detectaron y evitaron un intento de ciberataque mediante el uso de un gemelo maligno WIFI (Es decir, la creación de una réplica falsa de una Red WIFI legítima como cebo para los trabajadores) en los alrededores del edificio de la OPWC. Fueron arrestados miembros de la inteligencia rusa.
  • Wannacry: se trata del mayor ciberataque de ransomware a nivel mundial, que logró paralizar a muchas organizaciones de la Unión, incluyendo a grandes organizaciones que disponían de sistemas de ciberseguridad.
  • NotPetya: uno de los ataques Living-Off-The Land más conocidos y especialmente peligroso ya que puede afectar a sistemas de control industrial y por tanto, también infraestructuras críticas. Aunque simula ser un ciberataque de ransomware común como Wannacry, en realidad daña directamente los sistemas, como le ocurrió en el aeropuerto de Boryspil.
  • Operación Cloud Hopper: se trata de una campaña dirigida a proveedores de servicio y de la Nube (CSPs) llevada a cabo por el grupo chino APT-10. Los ciberatacantes emplearon técnicas de phishing para introducir un malware que recoge credenciales del personal de IT con permisos y acesos a esos servicios.

Anticipación para los adversarios_

Si hay algo que caracteriza a todos esos ciberataques por los que la UE ha emitido sanciones es su alto grado de sofisticación. Y es que detrás de ellos, aparentemente se encuentran grupos vinculados a estados, por lo que, en realidad, se trataría de prácticas de ciberguerra.

La UE ha decidido tomar la decisión de emitir sanciones tras considerar que es una respuesta proporcional al daño causado.  Pero para poder tomar esa decisión, las autoridades de la UE han tenido que identificar e investigar las amenazas para concluir que efectivamente, la responsabilidad corresponde a las personas y organizaciones acusadas. Eso requiere un tiempo de detección y de remediación de incidentes que cuanto menor sea, supondrá una mayor ventaja para que se pueda tomar la mejor decisión posible. Pero esto normalmente supone es un problema para las organizaciones porque tiende a ser excesivamente largo.

Con el fin de dar respuesta a este desafío, Cytomic Orion acelera la respuesta a incidentes y búsqueda de amenazas avanzadas (entre las que se incluyen Living-Off-The Land y malware sin fichero) en base a analítica de comportamiento a escala desde la nube. Sus herramientas como la librería de Threat Hunting y los Jupyter notebooks, permiten la búsqueda efectiva de amenazas y una investigación mucho más rápida en el Endpoint.

De esta manera, puede ayudar a los Estados y a las organizaciones a cambiar a un enfoque de seguridad más proactivo y a reducir su investigación y respuesta, con lo que estarán más preparados para los próximos ciberataques avanzados cuya responsabilidad se atribuya a otras potencias.