Los expertos del Equipo de Análisis e Investigación Global de Kaspersky (GReAT) prevén que los agentes de APTs introducirán nuevas formas de aprovechar vulnerabilidades en los dispositivos móviles, wearables, e inteligentes, utilizándolos para crear botnets y perfeccionar los métodos de ataque a las cadenas de suministro. También usarán la Inteligencia Artificial (IA) para que el spear phishing (ataques de phishing personalizados y dirigidos) sea más efectivo. Los investigadores de la compañía anticipan que estos avances intensificarán los ataques por motivos geopolíticos y los delitos cibernéticos.
La Inteligencia Artificial: clave para próximos ciberataques
Las herramientas de Inteligencia Artificial emergentes facilitarán la producción de mensajes de phishing y la suplantación de identidad de personas específicas. Los atacantes pueden idear métodos creativos de automatización recopilando datos en línea y enviándolos a los LLMs (Por sus siglas en inglés: Large Language Models o Modelos de Lenguaje Grandes especializados para la IA), con el fin de elaborar borradores de cartas imitando el estilo personal de alguien cercano a la víctima.
Este año, “Operation Triangulation” marcó un importante descubrimiento para las amenazas móviles, como el uso de exploits, lo que podría inspirar más investigaciones sobre las APTs, cuyos objetivos son los dispositivos móviles, wearables, e inteligentes. Los expertos de Kaspersky anticipan que seremos testigos de cómo los agentes de amenazas amplían sus esfuerzos de vigilancia y se dirigen a diversos dispositivos de consumo a través de vulnerabilidades y métodos “silenciosos” de entrega de exploits, incluso con ataques de clic cero a través de mensajería o bien, con un solo clic a través de SMS o aplicaciones de mensajería e interceptación del tráfico de red. Es por ello por lo que, la protección de dispositivos personales y corporativos se vuelve cada vez más crucial.
La explotación de vulnerabilidades en software y dispositivos de uso común es otro punto en el que debemos estar atentos. El descubrimiento de vulnerabilidades de alta y crítica severidad suelen ser investigadas de forma limitada y por ello, son corregidas de manera tardía, lo que potencialmente allana el camino para botnets nuevas, sigilosas y a gran escala, capaces de realizar ataques dirigidos.
Aumento de ataques patrocinados por naciones-estados y el hacktivismo como nueva normalidad
En medio de las crecientes tensiones geopolíticas, el número de ciberataques patrocinados por naciones-estados también podrían incrementarse en el próximo año y existen grandes probabilidades de que estos ataques amenacen con el robo o cifrado de datos, la destrucción de la infraestructura de TI, el espionaje a largo plazo y el sabotaje cibernético.
Otra tendencia notable es el hacktivismo, que se ha vuelto más común como parte de conflictos geopolíticos. Estas tensiones indican un probable aumento de la actividad hacktivista, tanto destructiva como destinada a difundir información falsa, lo que provocará investigaciones innecesarias y la consiguiente fatiga de los analistas de SOC y de los investigadores de ciberseguridad por estas alertas.
Otras predicciones de amenazas avanzadas para 2024 son:
- Ataques a la cadena de suministro como servicio: operadores que compran acceso al por mayor
La cadena de suministro puede ser vulnerada a través de ataques dirigidos a empresas pequeñas para afectar a las grandes: las violaciones de Okta en 2022–2023 resaltan la magnitud de esta amenaza. Los motivos de tales ataques pueden variar desde el beneficio económico hasta el espionaje. Para 2024, se esperan nuevos acontecimientos en las actividades del mercado de acceso a la Darkweb relacionadas con las cadenas de suministro, lo que permitiría ataques más eficientes y a gran escala.
- Aparición de más grupos que ofrecen servicios de hackeo por encargo
Los grupos de hackeo por encargo están aumentando y brindan servicios de robo de datos a clientes, que van desde investigadores privados hasta rivales comerciales. Se espera que esta tendencia crezca durante el próximo año.
- Los rootkits de kernel están de moda otra vez
A pesar de las medidas de seguridad modernas como la Firma de Código en Modo de Kernel (KMCS), PatchGuard y la Integridad de Código Protegido por Hipervisor (HVCI), las barreras de ejecución de código a nivel de kernel están siendo eludidas por grupos de APT y cibercriminales. Los ataques en el modo kernel de Windows están en aumento, facilitados por los abusos del Programa de compatibilidad de hardware de Windows (WHCP), así como del crecimiento del mercado clandestino de certificados EV y certificados de firma de código robados. Los actores de amenazas están aprovechando cada vez más el concepto de ‘Trae Tu Controlador Vulnerable’ (BYOVD) en sus tácticas.
- Los MFTs: blanco de ataques avanzados
Los sistemas de transferencia administrada de archivos (MFT, por sus siglas en inglés), diseñados para transportar de manera segura datos confidenciales entre organizaciones, se enfrentan a amenazas cibernéticas cada vez mayores, ejemplificadas por las infracciones de MOVEit y GoAnywhere en 2023. Esta tendencia está a punto de intensificarse en lo que los ciberdelincuentes buscan ganancias financieras e interrupciones operativas. La intrincada arquitectura MFT, integrada en redes más amplias, alberga debilidades de seguridad. Por eso, las organizaciones deben implementar medidas sólidas de ciberseguridad, incluida la prevención de pérdida de datos y el cifrado, además de fomentar la concienciación sobre la ciberseguridad para fortalecer los sistemas MFT contra las amenazas en evolución.
“En 2023, el notable aumento en la disponibilidad de herramientas de Inteligencia Artificial no eludió la atención de agentes maliciosos avanzados involucrados en campañas extensas y altamente complejas. Sin embargo, anticipamos que las próximas tendencias irán más allá de las implicaciones de la IA, incluidos nuevos métodos para realizar ataques a la cadena de suministro, el surgimiento de servicios de hackeo por contratación, novedosos exploits para dispositivos de consumo y más. Nuestro objetivo es proporcionar a los defensores una inteligencia de amenazas avanzada que se mantenga a la vanguardia ante los últimos desarrollos de riesgos, mejorando su capacidad para defenderse de los ciberataques de manera más efectiva”, comenta Igor Kuznetsov, director del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.
Las predicciones de APT se han desarrollado gracias a los servicios de inteligencia de amenazas ofrecidos por Kaspersky y utilizados en todo el mundo.
Lea el informe completo en Securelist.
