Los actores de amenazas de los estados-nación han intensificado la cooperación con los ciberdelincuentes durante el último año para promover sus objetivos políticos y militares, según el Informe de Defensa Digital 2024 de Microsoft. El uso de ciberdelincuentes por parte de los estados-nación ha servido para una variedad de propósitos, incluido el de recopilar inteligencia. , realizar operaciones para obtener ganancias financieras y hacer uso de las herramientas preferidas por estos grupos con motivación financiera, como los ladrones de información y los marcos de comando y control. Ejemplos de esta colaboración incluyen: Rusia parece haber subcontratado algunas de sus operaciones de ciberespionaje a grupos criminales, especialmente operaciones dirigidas a Ucrania. Esto incluye al grupo cibercriminal Storm-2049 que utilizó Xworm y Remcos RAT (malware básico asociado con actividades delictivas) para comprometer al menos 50 dispositivos militares ucranianos en junio de 2024. Los actores estatales iraníes utilizaron ataques de ransomware para obtener ganancias financieras de algunas de sus operaciones cibernéticas ofensivas. Por ejemplo, una operación de influencia cibernética dirigida por un grupo del Cuerpo de la Guardia Revolucionaria Islámica (CGRI) rastreada como Cotton Sandstorm comercializó datos robados de un sitio web de citas israelí a través de dos de sus ciberpersonajes entre septiembre de 2023 y febrero de 2024. Corea del Norte parece estar realizando operaciones de ransomware tanto para la recopilación de inteligencia como para la monetización de su acceso. Moonstone Sleet, un nuevo actor norcoreano identificado en mayo de 2024, desarrolló una variante de ransomware personalizada llamada FakePenny que implementó en organizaciones aeroespaciales y de defensa después de extraer datos de las redes afectadas. Esta coordinación entre el cibercrimen con motivación financiera y la actividad patrocinada por el estado también ha permitido grupos de ciberdelincuentes para acceder y aprender nuevas herramientas y técnicas, dijo el gigante tecnológico. El informe destacó las tendencias observadas en el período de julio de 2023 a junio de 2024. Actividad de los Estados-nación muy concentrada El informe encontró que la actividad cibernética de los Estados-nación se ha concentrado alrededor de sitios de conflicto militar activo o tensión regional. Microsoft observó que el 75% de los ataques a Estados-nación rusos tenían como objetivo a Ucrania o un Estado miembro de la OTAN. El foco de estos ataques fueron agencias gubernamentales y grupos de expertos europeos y norteamericanos, probablemente para recopilar información de inteligencia relacionada con la guerra en Ucrania. La orientación geográfica de China se mantuvo similar a la de los últimos años: América del Norte, Taiwán y otros países del sudeste asiático representan el 72% de sus objetivos de actividad cibernética. Los ciberactores con sede en China Raspberry Typhoon, Flax Typhoon y Granite Typhoon han atacado intensamente entidades asociadas con intereses de TI, militares y gubernamentales en todo el Mar de China Meridional. Irán ha puesto un foco significativo en Israel el año pasado, representando el 50% de su actividad desde octubre de 2023 hasta junio de 2024, tras el estallido del conflicto entre Israel y Hamas. Los actores iraníes continuaron apuntando a Estados Unidos y los países del Golfo, incluidos los Emiratos Árabes Unidos y Bahrein, en parte debido a la normalización de sus vínculos con Israel y la percepción de Teherán de que ambos están permitiendo los esfuerzos bélicos de Israel, informó Microsoft. La interferencia de Rusia, Irán y China en las elecciones estadounidenses Microsoft destacó las operaciones de influencia de Rusia, Irán y China relacionadas con las próximas elecciones estadounidenses. Cada una de las naciones utilizó asuntos geopolíticos en curso para generar discordia en temas internos delicados previos a las elecciones presidenciales de noviembre, buscando influir en las audiencias en los EE. UU. hacia un partido o candidato sobre otro, o degradar la confianza en las elecciones como base de la democracia. Por ejemplo, el influyente actor ruso Ruza Flood ha desarrollado sitios web con temas electorales estadounidenses, utilizando nombres como “50 estados de mentiras” y “Election Watch”, que difunden propaganda anti-Ucrania y anti-Estados Unidos a través de las plataformas de redes sociales. Irán ha tratado de influir en las elecciones estadounidenses de dos maneras principales: realizando intrusiones cibernéticas en cuentas políticas potencialmente para piratear y filtrar y lanzar una corriente de contenido polarizador en sitios de noticias encubiertos. Irán detrás del hackeo de la campaña de Trump, el gobierno de EE. UU. confirma que China no ha sido tan activa como Rusia e Irán en interferir en las elecciones estadounidenses, pero se ha observado que utiliza redes sociales encubiertas para sembrar discordia entre el público estadounidense. Por ejemplo, a finales de abril de 2024, el actor de influencia vinculado al Estado-nación chino, Taizi Flood, lanzó una campaña de influencia aprovechando el aumento de las protestas relacionadas con Israel y Palestina en los campus universitarios de Estados Unidos. Microsoft espera que la actividad de influencia en las elecciones estadounidenses se acelere durante las próximas dos semanas antes del día de la votación. Aumentan los ataques de ransomware Hubo un aumento interanual del 2,75 en los ataques de ransomware dirigidos a clientes de Microsoft. Los cinco principales grupos de ransomware representaron el 51% de estos ataques. Estos fueron Akira (17%), LockBit (15%), Play (7%), BlackCat (6%) y Basta (6%). Las técnicas de acceso inicial más frecuentes para la implementación de ransomware siguen siendo la ingeniería social, como el phishing por correo electrónico y el phishing por voz. Los actores de amenazas también aprovecharon las vulnerabilidades y exposiciones comunes (CVE) recientemente identificadas con puntuaciones del Sistema de puntuación de vulnerabilidad común (CVSS) superiores a 8 para lanzar ataques de ransomware. En más del 90% de los casos en los que los ataques avanzaron hasta la etapa de rescate, el atacante aprovechó dispositivos no administrados en la red, ya sea para obtener acceso inicial o para cifrar de forma remota los activos en la etapa de impacto, según el informe. Sin embargo, se triplicó el número de ataques de rescate que alcanzaron la etapa de cifrado. Microsoft dijo que la interrupción automática de los ataques contribuyó a esta tendencia positiva en la disminución de los ataques exitosos. Otro posible factor en esta disminución es la tendencia de los atacantes de ransomware a priorizar la filtración de datos sobre el cifrado para extorsionar a las víctimas.