El gigante del ransomware avanzó inexorablemente en 2024, una vez más, dejando más víctimas devastadas a su paso. Este año, el Servicio Nacional de Salud del Reino Unido se encontró recibiendo algunos ataques particularmente desagradables, pero también hubo otras víctimas de alto perfil.
Mientras tanto, las ciberintrusiones respaldadas por Estados de países como China y Rusia continuaron a buen ritmo, impulsadas por la incertidumbre geopolítica global, y dejaron al descubierto muchas campañas de ciberespionaje de larga duración.
Pero si el año 2024 sólo demostró una cosa, es que arrojar luz sobre el mundo cibernético está funcionando, y los británicos definitivamente van a por los malos, como lo demuestran las nuevas atribuciones del Centro Nacional de Seguridad Cibernética (NCSC), los desmantelamientos liderados por el Agencia contra el Crimen (NCA) y la legislación propuesta que destaca las amenazas de ransomware en sectores críticos lo está demostrando.
Si 2024 es recordado por algo en la comunidad cibernética, puede que sea simplemente el año en el que los buenos se quitaron los guantes y se defendieron como es debido.
Aquí están las 10 historias principales sobre delitos cibernéticos de 2024 de Computer Weekly.
Los efectos del ataque de ransomware a la Biblioteca Británica a finales de 2023 continuaron sintiéndose hasta 2024, mientras la venerable institución seguía luchando por volver a poner en línea sus sistemas paralizados.
En enero de 2024, se supo que la escala del ataque de ransomware era tan inmensa y sus efectos tan devastadores que podría terminar costándole a la Biblioteca Británica hasta 7 millones de libras esterlinas, eclipsando la demanda de rescate de 650.000 libras esterlinas.
Más adelante ese mismo año, en una notable muestra de transparencia, la dirección de la Biblioteca Británica publicó un desglose detallado de su experiencia a manos del equipo de ransomware Rhysida, para ayudar a otros a aprender y comprender.
También en enero, Cozy Bear, el equipo de piratería respaldado por Rusia detrás del incidente de SolarWinds Sunburst, volvió a la acción, irrumpiendo en los sistemas de Microsoft con un ataque de fuerza bruta, rociando contraseñas y desde allí accediendo a cuentas corporativas pertenecientes a empleados de liderazgo y seguridad.
Microsoft es uno de varios proveedores que se encuentra en el extremo receptor de este tipo de intrusiones, gracias en parte a su alcance y escala global, y a sus profundas relaciones con los gobiernos occidentales, y ha enfrentado duras preguntas sobre su postura de seguridad en los últimos años. años como resultado.
Una de las historias más importantes del año se desarrolló dramáticamente en un aburrido día de febrero, cuando la infame banda de ransomware LockBit fue derribada y su infraestructura pirateada y comprometida en la Operación Cronos, dirigida por la Agencia Nacional contra el Crimen (NCA) del Reino Unido.
Inmediatamente después de la caída, Computer Weekly tomó la temperatura de la comunidad de seguridad, encontrando un sentimiento optimista, pero también atenuado por el conocimiento de que una golondrina no hace un verano.
A lo largo del año, la NCA ha estado compartiendo una gran cantidad de información que recopiló durante el ejercicio, además de tomarse el tiempo para burlarse y trollear al líder de LockBit, llamado desde entonces Dmitry Khoroshev, quien en un momento se jactaba de su estilo de vida lujoso mientras jugaba con aplicación de la ley.
En abril, los líderes de inteligencia de amenazas, Mandiant, “actualizaron” formalmente el grupo de actividades maliciosas conocido como Sandworm a un actor de amenazas persistentes avanzadas (APT) independiente y completo para ser rastreado como APT44; otras compañías tienen taxonomías diferentes, la de Mandiant es alfanumérica.
APT44 se gestiona desde la Dirección Principal de Inteligencia (GRU) de Rusia dentro de la Unidad 74455 del Centro Principal de Tecnologías Especiales (GTsST) y se describe como uno de los actores de amenazas más descarados que existen.
Aunque limita sus actividades a aquellas que están al servicio del Estado ruso en lugar de a la criminalidad por motivos financieros, los vínculos entre el ciberdelito y el ciberespionaje continuaron difuminándose durante 2024, y algunas APT de estados nacionales incluso actuaron como intermediarios de acceso inicial (IAB) para bandas de ransomware. .
A principios de junio, un ataque de ransomware Qilin derribó un importante ciberataque a Synnovis, un proveedor de servicios de laboratorio de patología que trabaja con los hospitales Guys y St Thomas’ y King’s College en Londres, así como a otros sitios del NHS en la capital del país. .
Esta intrusión resultó en la declaración de un incidente importante en el NHS, con citas de pacientes y cirugías canceladas, y el suministro de sangre se agotó peligrosamente. Las ramificaciones de este ciberataque verdaderamente insensible todavía se sienten seis meses después.
Todos los ojos estaban puestos en Westminster en julio durante el primer discurso del Rey celebrado bajo un gobierno laborista en más de una década, y para la comunidad de seguridad había mucho que elegir cuando la administración de Keir Starmer propuso implementar informes obligatorios de incidentes cibernéticos (incluido el ransomware) para los operadores de infraestructura crítica nacional (CNI), en un nuevo Proyecto de Ley de Ciberseguridad y Resiliencia.
Según el gobierno, la ley ampliará el alcance de la regulación existente y brindará a los reguladores una base más sólida cuando se trata de proteger los servicios digitales y las cadenas de suministro, y mejorará los requisitos de presentación de informes para ayudar a construir una mejor imagen de las amenazas cibernéticas. se presentará al Parlamento en 2025.
En septiembre, el Reino Unido y sus aliados de Five Eyes unieron fuerzas con las autoridades cibernéticas de la Unión Europea (UE) y Ucrania para resaltar una cobarde campaña de ciberespionaje llevada a cabo por la Unidad 29155, otra APT rusa.
La Unidad 29155 se dirige a las víctimas para recopilar información con fines de espionaje, sabotea sitios web y capacidades operativas diarias, e intenta causar daños a la reputación filtrando selectivamente datos importantes. Ha realizado miles de ejercicios en la OTAN y la UE con un enfoque notable en CNI, gobierno, servicios financieros, transporte, energía y atención médica.
También es particularmente notable por su participación en la campaña Whispergate de ataques destructivos de malware contra Ucrania antes de la invasión de 2022.
MoneyGram, empresa estadounidense de servicios financieros y transferencia de dinero, fue otra víctima de un ciberataque de alto perfil que surgió en 2024, con sus sistemas desactivados en un aparente ataque de ransomware en septiembre de 2024.
Entre los clientes de Moneygram en el Reino Unido se incluye la Oficina de Correos, que canceló su contrato con el atribulado proveedor poco después con efecto inmediato, disculpándose con sus subadministradores por avisarles con apenas 24 horas de antelación.
Desde entonces se supo que los datos de los clientes de MoneyGram fueron robados en el ataque, que muy probablemente comenzó a través de un ataque de ingeniería social a su servicio de asistencia técnica de TI.
Para demostrar que, lamentablemente, la ingeniería social funciona, un ciudadano británico llamado ahora Tyler Robert Buchanan, de 22 años, fue acusado en Estados Unidos en noviembre de 2024 de delitos relacionados con los ciberataques de Scattered Spider.
Un año antes, Scattered Spider afectó a varias empresas, incluidos operadores de casinos de alto perfil de Las Vegas y muchas otras, mediante audaces ataques de ingeniería social que a menudo tenían como objetivo los servicios de asistencia técnica, frecuentemente explotando los servicios de identidad de Okta.
La pandilla Scattered Spider era inusual en el entorno de amenazas actual, ya que sus miembros principales estaban todos basados en EE. UU. y el Reino Unido, lo que demuestra de una vez por todas que no todos los ciberdelincuentes tienen acento ruso. Buchanan enfrenta más de 40 años de prisión en Estados Unidos.
Es un hecho bien establecido que las bandas de ransomware tienen problemas con los proveedores de atención médica como el NHS, pero a esta lista de víctimas preferidas ahora también podríamos agregar a la gente de Liverpool, ya que a finales de año se produjo una serie de ataques a múltiples hospitales. en Merseyside fue noticia nacional.
Estos organismos controlan una gran cantidad de datos extremadamente privados y altamente regulados, y a menudo operan TI y seguridad con presupuestos reducidos con tecnología heredada: ¿qué delincuente de sangre roja podría dejar pasar tal oportunidad?
Entre las víctimas se encontraba el hospital infantil Alder Hey, de fama nacional, que, junto con otros dos hospitales del área, fue pirateado a través de un servicio de puerta de enlace digital compartida. Esto probablemente fue el resultado de la explotación de las vulnerabilidades de Citrix Bleed conocidas desde hace más de 12 meses, lo que demuestra que aplicar parches rápidamente es realmente la mejor medicina.