Netskope Threat Labs rastrea a los adversarios que atacan activamente a los clientes de Netskope para comprender mejor sus motivaciones, tácticas y técnicas. A continuación, aprovechamos esa información para ayudar a nuestros clientes a defender sus sistemas contra esos adversarios. Los adversarios que rastrea Netskope Threat Labs se dividen generalmente en dos categorías, en función de sus motivaciones.
Criminal
El principal objetivo de los grupos de adversarios criminales es el beneficio económico, y su conjunto de herramientas suele incluir ladrones de información y Ransomware. La extorsión ha sido un negocio extremadamente rentable para los ciberdelincuentes durante los últimos años, con un estimado de 457 millones de dólares en pagos de rescate realizados en 2022. La mayoría de los adversarios criminales han diversificado sus operaciones para utilizar tanto Ransomware como infosecuestradores con el fin de aumentar las probabilidades de que la víctima pague. Si encriptar sus sistemas con Ransomware no fuera suficiente para convencerles de que paguen, tal vez la divulgación pública de la información sensible robada a la Organización ayudaría. Aunque intentamos etiquetar a cada grupo criminal adversario según el país en el que operan, muchos grupos trabajan a nivel transnacional. Además, muchos ahora operan en un modelo de afiliados, lo que hace que sus operaciones sean aún más dispersas. Como resultado, normalmente asociamos un grupo con el país o la región de la que se cree que provienen sus miembros principales.
Geopolítico
Los grupos adversarios geopolíticos están motivados por cuestiones geopolíticas. Por lo general, son estados-nación o sus representantes, y sus actividades suelen reflejar conflictos políticos, económicos, militares o sociales más amplios. Por ejemplo, grupos adversarios rusos lanzaron ciberataques contra Ucrania que coincidieron con su invasión a ese país. Los grupos geopolíticos suelen participar en operaciones cibernéticas contra otros Estados-nación, y dichas operaciones se han convertido en un componente crítico de las relaciones internacionales modernas. Las líneas entre adversarios geopolíticos y criminales a veces se difuminan, y algunos grupos geopolíticos también participan en actividades motivadas financieramente. Por ejemplo, el actual régimen norcoreano financia el desarrollo de su programa de misiles a través del cibercrimen. Las operaciones cibernéticas específicas emprendidas por los adversarios geopolíticos varían, incluyendo el ciberespionaje contra organizaciones gubernamentales y no gubernamentales y el sabotaje de infraestructuras críticas para desestabilizar a un adversario. Los adversarios geopolíticos también participan en la guerra de la información, difundiendo propaganda, manipulando la opinión pública e influyendo en las elecciones populares.
Atribuir actividad a un grupo adversario específico puede ser un desafío. Los adversarios intentan ocultar sus verdaderas identidades o incluso lanzan intencionadamente operaciones de falsa bandera en las que intentan hacer que sus ataques parezcan provenir de otro grupo. Varios grupos a menudo usan las mismas tácticas y técnicas, algunos van tan lejos como para usar exactamente las mismas herramientas o incluso comparten infraestructura. Incluso definir grupos adversarios puede ser un desafío, ya que los grupos evolucionan o los miembros se mueven entre grupos. Por estas razones, las atribuciones de los adversarios son difusas y están sujetas a cambios y evoluciones a medida que sale a la luz nueva información. En el resto de este Informe, presentamos estadísticas sobre las actividades de los adversarios observadas en la Plataforma Netskope Security Cloud y los grupos probablemente responsables de dichas actividades.