Summarize this content to 600 words Este informe contiene información generalmente disponible sobre las actividades y resultados operativos de CERT.LV, excluyendo información de acceso restringido. Este informe es sólo para información.
“Al construir y fortalecer su cooperación estratégica a nivel nacional e internacional y contribuir a la defensa colectiva de la OTAN en Europa, el equipo CERT.LV trabaja incansablemente para garantizar que Letonia sea un objetivo duro y difícil para los ciberatacantes. El enfoque de Letonia se basa en la visibilidad específica de las amenazas cibernéticas y en la obtención temprana de inteligencia, en procesarlas y responder a niveles de políticas operativas y estratégicas. Cada indicador de amenaza detectado se almacena en una infraestructura de protección activa centralizada, el firewall DNS, cuyo objetivo es proteger eficazmente a todas las personas que viven en Letonia, a todas las empresas y organizaciones que utilizan la protección proporcionada por CERT.LV”, afirma Varis Teivāns, subdirector de CERT. LV.
Resumen
Desde el inicio de la guerra entre Rusia y Ucrania, el nivel de amenazas cibernéticas en Letonia ha sido alto y algunos ataques cibernéticos se han multiplicado por siete. Al mismo tiempo, la situación en el ciberespacio es estable y la resiliencia de la infraestructura de tecnología de la información (TI) de Letonia frente a los ciberataques aumenta diariamente. Hasta el día de hoy, los ciberataques no han tenido un impacto significativo o duradero en el público, su seguridad y sus servicios esenciales.
Sin embargo, las conclusiones de las operaciones de caza de amenazas realizadas por CERT.LV son preocupantes: casi un tercio de las instituciones del sector público sufrieron, con distintos grados de impacto, ciberataques vinculados a otros países (incluida Rusia).
Esto reafirma la necesidad de poder monitorear el cumplimiento de los requisitos mínimos de ciberseguridad en el país, la necesidad de contar con servicios de ciberseguridad efectivos y fácilmente disponibles, así como la necesidad de poder procesar grandes volúmenes de telemetría de tecnología de la información, que en -Permitir un apoyo de alta calidad a los recursos técnicos y humanos del sector público frente a las ciberamenazas cada vez mayores. Para obtener más información sobre los servicios gratuitos que ofrece CERT.LV, visite https://cert.lv/lv/pakalpojumi.
Operaciones de caza de amenazas
Operaciones de búsqueda de amenazas (búsqueda proactiva de ciberatacantes) CERT.LV, por sí solo y en conjunto con naciones aliadas, ha estado llevando a cabo estas operaciones en la infraestructura de TI crítica de Letonia y otras entidades de alta prioridad desde 2022.
Con más de 100.000 dispositivos analizados en 25 organizaciones a finales de 2023, Letonia es el líder de la Unión Europea en la organización y realización de operaciones de caza de amenazas. En un tercio de las organizaciones, se identificó con alta confianza la presencia de un atacante de otro país (APT), por lo que se eliminó la presencia del atacante identificado y se encontraron otras amenazas importantes que las organizaciones objetivo pudieron manejar a través de datos. decisiones.
Los atacantes apoyados por otros países utilizaron una variedad de técnicas de intrusión para obtener acceso a activos críticos de infraestructura de TI y del gobierno, incluida la suplantación de autenticación, la explotación de vulnerabilidades conocidas públicamente, comprometer sitios web, comprometer VPN y puertas de enlace de correo electrónico, phishing y entrega dirigida de malware a través de correo electrónico. En más de cinco casos, el atacante obtuvo acceso inicial comprometiendo el soporte de TI, el desarrollo de software o los proveedores de servicios de seguridad en el sector privado, aprovechando la oportunidad para obtener acceso a las redes corporativas y los sistemas de información de los clientes de estas organizaciones. Los sitios web o sistemas de información configurados de forma insegura y expuestos a la red pública a menudo se vieron comprometidos, con el uso de servicios de control remoto (RDP) y entregas de malware por correo electrónico.
Después de obtener el acceso inicial, los atacantes con mayor frecuencia buscaban expandir su presencia en la red corporativa y comprometer la infraestructura de Windows Active Directory para obtener el mayor control posible. Es en la fase inicial de un ataque cuando las acciones del atacante son menos cautelosas, más visibles y más fáciles de prevenir, razón por la cual la recopilación y el procesamiento centralizados y eficientes de la telemetría de las redes corporativas, los servidores y todo el perímetro de seguridad es fundamental. . Para proteger eficazmente la infraestructura de tecnologías de la información de las organizaciones, CERT.LV ofrece una amplia gama de servicios de ciberseguridad a las entidades sujetas a la Ley de Seguridad de las Tecnologías de la Información.
Ataques de denegación de servicio (DDoS) por motivos políticos
Los ataques de denegación de servicio (DDoS) por motivos políticos llevados a cabo por grupos hacktivistas prorrusos continúan produciéndose en oleadas, dirigidos a instituciones gubernamentales y empresas de ciertos sectores de Letonia. La proporción de ataques exitosos está disminuyendo, lo que es testimonio de la preparación de la infraestructura de tecnología de la información de Letonia, la eficacia del servicio de defensa centralizado financiado por el Ministerio de Defensa y la capacidad de los operadores de telecomunicaciones para proporcionar sus servicios incluso cuando están sujetos a una ataque externo prolongado. Es esencial evitar la participación de la infraestructura de TI de Letonia en ataques cibernéticos y la posibilidad de ataques desde dentro del país, ya que las empresas de telecomunicaciones vinculadas a Rusia están construyendo deliberadamente una presencia en Letonia y otros estados miembros de la UE.
Ataques con motivación financiera
Se siguen ejecutando ataques con motivos financieros mediante phishing, así como con plataformas de inversión fraudulentas, defraudando al público letón por más de 1 millón de euros cada mes. Las empresas continúan recibiendo ataques de compromiso de correo electrónico empresarial (BEC), en los que los atacantes obtienen acceso a cadenas de correo electrónico de transacciones y envían facturas con detalles de pago modificados, para transacciones reales.
Durante mucho tiempo, el ruso fue el idioma elegido por los estafadores; sin embargo, hacia finales de año, el letón fluido, tanto hablado como escrito, se hizo más frecuente en las campañas fraudulentas. Se espera que los atacantes hagan un uso cada vez mayor de las nuevas tecnologías, incluida la “inteligencia artificial”/grandes modelos de lenguaje, para mejorar la calidad de los esquemas fraudulentos y el lenguaje en el que se entregan, la falsificación de voz e imágenes, así como la desinformación. campañas y la creación de contenidos engañosos.
Vulnerabilidades y sistemas informáticos vulnerables
Las vulnerabilidades y los sistemas de TI vulnerables son un riesgo creciente, afectados por vulnerabilidades críticas recién descubiertas, sistemas de TI configurados incorrectamente y soluciones de TI obsoletas. Los atacantes más capaces son cada vez más rápidos y explotan a gran escala las vulnerabilidades descubiertas recientemente entre uno y dos días después de su divulgación. Se observaron ataques a la cadena de suministro contra organizaciones con altos niveles de seguridad, obteniendo acceso a la infraestructura objetivo atacando a desarrolladores de software subcontratados y otros proveedores de servicios.
Teniendo en cuenta la experiencia de Ucrania en su guerra a gran escala con el Estado agresor, Rusia, el equipo de CERT.LV llevó a cabo una serie de diferentes intentos de intrusión controlada y medidas de concienciación de vulnerabilidad en los rangos de direcciones IP de Letonia y en la zona de dominio .lv, con el fin de Identificar sistemas vulnerables antes de que lo haga un atacante. También se llevó a cabo una búsqueda de cámaras de vigilancia vulnerables y expuestas al público, encontrándose más de 200 dispositivos en lugares donde no era deseable una videovigilancia no autorizada o incluso pública.
Se creó la plataforma coordinada de divulgación de vulnerabilidades cvd.cert.lv, que sirve con éxito como puente de comunicación entre los investigadores de ciberseguridad (hackers de sombrero blanco) y las instituciones y empresas letonas.
Durante el período del informe, CERT.LV llevó a cabo 16 pruebas de seguridad informática a gran escala y varias simulaciones de ataques controlados, durante las cuales se encontraron y eliminaron una serie de vulnerabilidades importantes. Los análisis de seguridad automatizados de más de 2700 dominios gov.lv identificaron docenas de activos con versiones obsoletas que contenían vulnerabilidades conocidas públicamente. Como parte de los servicios de CERT.LV, se simularon ataques de phishing, se puso a prueba la vigilancia de más de 8.000 empleados de instituciones gubernamentales y se comprobó la capacidad de las instituciones objetivo para identificar fugas de datos.
Tecnología operativa (OT) y seguridad de sistemas de control industrial.
Se llevó a cabo una investigación sobre tecnología operativa (OT) y seguridad de sistemas de control industrial, examinando la seguridad de los sistemas operativos en las industrias de energía y transporte. Al analizar los protocolos y las alarmas, y aplicar ingeniería inversa al software del sistema de control industrial, se obtuvieron nuevos conocimientos y se identificaron riesgos de seguridad. Las inspecciones identificaron riesgos de seguridad previamente desconocidos, todos los cuales podrían controlarse mediante la implementación de procedimientos adecuados.
Se lanzó un proyecto sobre sensores OT y se estableció el primer Centro de Operaciones de Seguridad OT de Letonia, que proporciona la experiencia y el apoyo necesarios a los controladores de la infraestructura de TI crítica del país.
cortafuegos DNS
El cortafuegos DNS es una solución de seguridad activa que protege a los usuarios contra sitios web fraudulentos y nombres de dominio registrados maliciosamente, y CERT.LV y NIC.LV la proporcionan de forma gratuita. Desde 2022, el uso del servicio se ha multiplicado por 5, procesando 1,5 millones de solicitudes DNS por mes. En el cuarto trimestre de 2023, el servicio impidió que usuarios (únicos) visitaran sitios maliciosos aproximadamente medio millón de veces. En otoño de 2024, se espera que la aplicación móvil de firewall DNS esté disponible para dispositivos móviles Apple iOS y Android.