¿Qué sucede en el ciberespacio como consecuencia del coronavirus?

(Para Alessandro Rugolo)
06/04/20

La pandemia de COVID 19 es un desafío de salud para la humanidad, pero eso no impide su uso para actividades criminales, de espionaje o gripe.

El informe de Thales "COVID-19: Cyber ​​Threat Assessment" es un excelente resumen de lo que sucede en el ciberespacio como consecuencia del COVID 19. Con fecha 24 de marzo de 2020, se puede descargar del sitio web de Thales (link).

Echemos un vistazo juntos al estudio.

En primer lugar, debemos señalar que según analistas de todo el mundo se está produciendo un aumento de cibercampañas vinculadas a la difusión de noticias sobre COVID 19 y a la difusión de software utilizado para visualizar y rastrear la situación de COVID 19 (tanto en PC como en dispositivos móviles). . Por tanto, el vector de ataque está directamente relacionado con la propagación del virus biológico.

Los analistas indican que es el miedo el que impulsa la búsqueda de cada vez más información, olvidando la necesaria atención a la seguridad, provocando tanto una mayor propagación de malware (ransomware, spyware, etc.) como una mayor propagación de noticias falsas.

Sin embargo, varios grupos de piratas informáticos han dicho que no tienen intención de atacar hospitales a pesar de los ataques contra hospitales de París, el Hospital Universitario de Brno (laboratorio de pruebas checo COVID 19) y el Departamento de Salud de EE. UU.
Los grupos reportados para participar en estas campañas mundiales son: Vicius Panda, Mustang Panda, Kimsuky, APT 36, grupo Hades, TA542.

De gran interés, las recomendaciones de la ANSSI (Agence nationale de la sécurité des systèmes d'alformation) sobre teletrabajo que resumimos brevemente a continuación y creemos que también pueden ser válidas para nosotros:

  • no exponga en Internet, por ningún motivo, las interfaces web de los servidores de Microsoft Exchange que no se hayan actualizado al último parche de seguridad;
  • no otorgue acceso a servidores de intercambio de archivos a través del protocolo SMB;
  • si expone o necesita exponer nuevos servicios en Internet, actualice los parches de seguridad (tanto en software como en hardware) lo antes posible y active los mecanismos de inicio de sesión. Si es posible, use la autenticación de dos factores;
  • realizar copias de seguridad sin conexión;
  • use el acceso a través de VPN (IPSEC o TLS) para evitar la exposición directa en Internet;
  • verifique regularmente los registros de acceso de los servicios expuestos en Internet o que muestren un comportamiento sospechoso.

Siga también las indicaciones adicionales de Thales, también resumidas a continuación:

  • utilizar canales de información confiables (gubernamentales, nacionales ...);
  • prestar atención al sensacionalismo de ciertos medios;
  • verificación cruzada de información;
  • recordar la atención de los "teletrabajadores" a la seguridad de la información;
  • a nivel estatal, dar prioridad a la Inteligencia de amenazas cibernéticas;
  • combine IDS y Cyber ​​Threat Intelligence cuando tenga capacidad y disponibilidad.

Agregamos para prestar atención a la gestión de los servicios, evitamos los propios objetivos.!

Algunas de mis breves consideraciones

El Informe es ciertamente interesante y enfatiza, además del malware, el uso del ciber para la difusión de noticias, mensajes e información que podrían considerarse campañas de información. Esto significa que el caso de la pandemia COVID 19 es utilizado (o más bien se sospecha que está empleado) por potencias extranjeras para cubrir las operaciones de Influir. Nada extraño, en mi opinión, pero es bueno señalarlo porque no siempre se dice con tanta claridad.

Creo que está claro para todos que en este período muchas personas han llevado a cabo operaciones Influir, tanto mediante mensajes públicos como mediante actos, dirigidos al "vientre" de la opinión pública, italiana y de otro tipo. Lamentablemente, las operaciones realizadas por todos los Estados, tanto los considerados "amigos" como los considerados "enemigos".

Última recomendación a los gerentes: en tiempos de emergencia se necesita poco para sobreestimar o subestimar las necesidades de un sector. El sector de TI no ha tenido buena salud desde antes de la crisis de COVID 19, por lo que seguir alimentando no sería prudente, incluso ante la pandemia!
Un buen conocedor de algunas palabras.

Para saber más:
- https://www.thalesgroup.com/en/market-specific/critical-information-syst...
https://blog.malwarebytes.com/101/2018/12/how-threat-actors-are-using-sm...
https://www.ssi.gouv.fr/uploads/2018/10/guide_nomadisme_anssi_pa_054_v1.pdf