Para repasar lo que fue el 2022 en ciberseguridad, elegimos cinco hechos que nos dan un buen pantallazo de lo que fue el año. Esto incluye los ataques informáticos que se dieron en el contexto del conflicto geopolítico entre Rusia y Ucrania, la actividad maliciosa de Lapsus$ que afectó a grandes compañías, el ataque a Ronin que derivó en el robo de más de 600 millones de dólares, los ataques de ransomware a organismos públicos en América Latina, y el hallazgo de ProxyNotShell, una serie de vulnerabilidades en Microsoft Exchange Server que generaron preocupación. A continuación, nuestro resumen de lo que fue el 2022 para la ciberseguridad:

Ataques de malware con fines destructivos

Con el comienzo de la guerra entre Rusia y Ucrania llegaron los primeros ciberataques con fines destructivos apuntando en varios casos a infraestructuras críticas. Tres semanas después de que Rusia invadiera territorio ucraniano ya se habían detectado tres malware del tipo wiper distintos utilizados en ataques contra infraestructuras ucranianas con la intención de destruir datos y afectar su operatoria. Primero fue HermeticWiper, luego fue un nuevo wiper y un  worm, llamados IsaacWiper y HermeticWizard, y pocas semanas después se detectó un tercer wiper llamado CaddyWiper. Por si fuera poco, en abril se descubrió una versión actualizada de Industroyer apodada Industroyer 2. Se trata de un malware que apunta a sistemas de control industrial y que en el contexto geopolítico se utilizó en ataques contra compañías de energía eléctrica. La actividad maliciosa entre estos países ha estado presente durante todo el año y trajo preocupación a nivel global por el alcance y las consecuencias del conflicto en el plano de la ciberseguridad. También recordó el impacto que puede tener el uso de malware como instrumento para provocar desestabilización y sobre todo el riesgo de que las infraestructuras críticas sean el objetivo de estos ataques.

Grupo Lapsus$ atacó a grandes compañías de tecnología en 2022

La actividad del grupo extorsivo apodado Lapsus$ tuvo gran repercusión en 2022. El grupo se hizo conocido primero por el ataque al Ministerio de Salud de Brasil, pero sobre todo por los ataques que vinieron después y que afectaron a grandes compañías de tecnología, como NVIDIA, Samsung, Microsoft, Okta, Globant o T-Mobile. Estos ataques derivaron en la filtración de grandes volúmenes de datos internos sensibles, como el código fuente de distintos desarrollos, entre otra información interna.

La actividad de Lapsus$ en 2022 mostró una vez más que incluso las grandes compañías son vulnerables pese a los esfuerzos y la inversión. Sobre todo porque en la mayoría de los casos el acceso a los sistemas se logró utilizando ingeniería social para engañar a empleados de las empresas afectadas. Si bien la actividad del grupo disminuyó desde abril de 2022, la compañía Uber, que fue víctima de un acceso indebido a sus sistemas en septiembre de 2022 que tuvo gran repercusión, responsabilizó al grupo Lapsus$ del incidente.

Los ataques apuntando a criptoactivos aumentaron en todas sus formas

En los últimos años hemos visto varios casos de ataques a distintas plataformas de criptomonedas, sobre todo proyectos de finanzas descentralizadas (DeFi). Pero en 2022 hubo un incidente muy importante: el ataque a Ronin, la red blockchain que utiliza el juego Axie Infinity. Los atacantes robaron más de 620 millones convirtiéndose en el ataque al ecosistema cripto más importante del año y en uno de los ataques más grandes en la historia junto al de Poly Network en 2021. Lo curioso fue que el responsable del ataque es un grupo de APT llamado Lazarus vinculado a tareas de espionaje y por su largo historial de ataques a infraestructuras críticas y públicas de Corea del Sur desde 2011. Los atacantes lograron acceder a los sistemas utilizando una falsa oferta de empleo a través de LinkedIn, una práctica habitual del grupo y que ha utilizado en otros ataques. De esta manera engañaron a un ingeniero de la compañía desarrolladora de Axie Infinity para que descargue malware y lograron acceder a los sistemas.

Ataque a organismos públicos de América Latina fueron una constante

En 2022 fueron varios los casos de ataques de ransomware y filtraciones de datos que sufrieron organismos públicos de varios países de América Latina y hemos profundizado en en WeLiveSecurity acerca de este tema. La situación más compleja fue la que se vivió en Costa Rica luego de la ola de ataques de ransomware lanzados por grupos como Conti y Hive. En total afectaron a más de 25 organismos públicos y varios servicios se vieron afectados, como el cobro de impuestos y salarios, la aduana o el servicio de salud pública, impidiendo entre otras cosas emitir recetas médicas online. Las consecuencias de los ataques duraron semanas y generaron gran preocupación en la población, llevando al gobierno a declarar la emergencia nacional.

Lecturas relacionados:
 

ProxyNotShell: nuevas vulnerabilidades zero‑day en Microsoft Exchange

Si bien hubieron varias vulnerabilidades zero-day importantes que se conocieron en 2022, como Follina, por ejemplo, no  podemos dejar de mencionar a ProxyNotShell, que son las dos nuevas vulnerabilidades en Microsoft Exchange Server que han estado siendo explotadas activamente por cibercriminales en ataques que buscan acceder a servidores y ejecutar código de manera remota. Su nombre se debe a la similitud que presentan estas vulnerabilidades con ProxyShell, una serie de vulnerabilidades que se descubrieron en 2021 y que fueron de las más explotadas por cibercriminales el último año en ataques llevados adelante por distintos grupos de cibercriminales. La aparición de estas nuevas vulnerabilidades críticas en Microsoft Exchange Server generó preocupación a partir de septiembre, pero hubo que esperar casi dos meses hasta que en noviembre Microsoft lanzó un pache para proteger a los sistemas contra ProxyNotShell.

Como podemos apreciar, 2022 fue un año con mucha actividad en el mundo de la ciberseguridad, y probablemente esta actividad se mantendrá en 2023. Por eso, para terminar te invitamos a leer cuáles son las Tendencias en ciberseguridad a partir del 2023 y reflexionar acerca de los desafíos para la ciberseguridad en el corto y también en el largo plazo.