.
BOLSAS Así fue cómo un ciberataque anticuado puso de rodillas a toda una bolsa de valores
jueves, 4 de febrero de 2021

No pasó mucho tiempo para descubrir qué sucedió. El sitio web se vio abrumado por un tsunami de tráfico digital en alta mar

Bloomberg

El sitio web de la Bolsa de Valores de Nueva Zelanda se ralentizó un martes por la tarde en agosto. Estaba tan estrangulado que el intercambio no pudo publicar anuncios de mercado, como lo exigían los reguladores financieros. Entonces, con una hora restante para el comercio, la gerencia cerró toda la operación.

No pasó mucho tiempo para descubrir qué sucedió. El sitio web se vio abrumado por un tsunami de tráfico digital en alta mar. Un correo electrónico de los perpetradores dejó en claro que se trataba de un ataque malicioso.

NZX Ltd , que opera el intercambio, restauró la conectividad antes del siguiente día de negociación. Pero los ataques se reanudaron una vez que se abrió el mercado, lo que obligó a más suspensiones comerciales durante los próximos días.

Cuando el intercambio finalmente movió sus servidores fuera del alcance del bombardeo digital, a servidores basados ​​en la nube, los atacantes comenzaron a apuntar a las empresas que cotizan en bolsa individualmente. Al final, el comercio en NZX se detuvo durante cuatro días, con "solo períodos intermitentes de disponibilidad", según una revisión del gobierno.

"No le desearías esto a tu peor enemigo", dijo el director ejecutivo de NZX, Mark Peterson, a un periódico local.

NZX fue golpeado con el equivalente cibernético de un atraco, un estilo de hackeo crudo y anticuado que John Graham-Cumming , director de tecnología de la firma de ciberseguridad Cloudflare, describió como "el ataque más simple y tonto que se puede hacer". Conocidos como una denegación de servicio distribuida, o DDoS para abreviar, estos ataques inundan una red de computadoras o un servidor con tanto tráfico que puede abrumarse y dejar de funcionar.

Los ataques DDoS han existido durante décadas a pesar de que la industria de la ciberseguridad ha descubierto en gran medida cómo resistirlos. Sin embargo, han resistido y crecido porque son relativamente fáciles de realizar en comparación con los ataques reales a las redes informáticas y el crecimiento explosivo de los dispositivos conectados a Internet ha dado a los piratas informáticos una ventaja para lanzar ataques.

Además, muchas empresas y organizaciones, como NZX, no se molestan en tomar las precauciones necesarias.

“La razón por la que persisten es que la gente piensa que nunca serán víctimas”, dijo Graham-Cumming.

Esta cuenta se basa en entrevistas con más de una docena de expertos en ciberseguridad en Nueva Zelanda y otros lugares y proporciona nuevos detalles sobre un ataque, incluidas notas jactanciosas de los atacantes y flagrantes deficiencias de ciberseguridad en NZX. Un informe publicado el 28 de enero por el regulador de los mercados financieros de Nueva Zelanda reforzó esos hallazgos, criticando el fracaso de NZX para prevenir el incidente DDoS y acusando a los funcionarios de una "falta de voluntad para aceptar la culpa".

NZX fue blanco como parte de una campaña DDoS que comenzó el año pasado y fue sorprendente en su ambición global. Más de 100 empresas y organizaciones de todo el mundo han sentido hasta ahora su fuerza, incluidos Travelex en el Reino Unido, YesBank en India y el servicio meteorológico de Nueva Zelanda, según investigadores de ciberseguridad. y las propias empresas. Ninguno sufrió el impacto de NZX.

Travelex no respondió a los mensajes en busca de comentarios, ni tampoco el servicio meteorológico. YesBank dijo que el ataque "no fue material", pero no proporcionó más detalles.

Los ataques han seguido un patrón familiar, según los expertos en ciberseguridad. Las víctimas potenciales reciben un correo electrónico a menudo dirigido personalmente al director de TI. Enumera una dirección de Bitcoin y una demanda de lo que normalmente ha sido alrededor de $ 200,000. Los atacantes prometen discreción a quienes pagan para “respetar su privacidad y reputación, para que nadie se entere de que ha cumplido”, según las copias de los correos electrónicos de extorsión revisados ​​por Bloomberg.

Los atacantes, que se cree que tienen su sede en Europa del Este, se han identificado de diversas formas en los correos electrónicos como Lazarus, FancyBear y Armada Collective, todos nombres de infames grupos de piratería, según los correos electrónicos y expertos en ciberseguridad.

“Asumimos absolutamente que es una entidad. Cada aspecto de la campaña es absolutamente similar ”, dijo Hardik Modi, director senior de inteligencia de amenazas de la firma de ciberseguridad NetScout Systems Inc. , con sede en Washington. “Dirijo un equipo de investigación y siento que nos enfrentamos a un equipo de investigación en el que el nivel de devoción es poco común. Por eso ha llamado nuestra atención ”.

Desde que NZX se cerró temporalmente, los atacantes lo han utilizado para establecer credibilidad con nuevos objetivos. Los correos electrónicos entregados en las semanas y meses posteriores contenían alguna variación de esta advertencia: "Realice una búsqueda de NZX o de la Bolsa de Nueva Zelanda en las noticias, no quiere ser como ellos, ¿verdad?"

Los intercambios financieros han detenido el comercio por una variedad de razones a lo largo de los años, desde ardillas masticando líneas eléctricas hasta guerras. En octubre, por ejemplo, las bolsas de tres continentes citaron problemas técnicos para los cierres, y la parada de todo el día en la Bolsa de Valores de Tokio fue la peor de su historia . De manera similar, el apagón de 10 horas en la Bolsa Mexicana de Valores fue el apagón más largo de su historia reciente; Euronext NV cerró las operaciones durante tres horas.

Los funcionarios de NZX se negaron a comentar para esta historia, pero les dijeron a los reguladores financieros que la magnitud del ataque no tenía precedentes y no podía haberse previsto. La Autoridad de Mercados Financieros, en su informe , no lo estaba comprando: "Muchos otros intercambios en todo el mundo han experimentado aumentos de volumen significativos y ataques DDoS, pero no hemos visto ninguno que se haya interrumpido con tanta frecuencia o durante un período tan largo".

NZX y gran parte de Nueva Zelanda sufren de una falta general de conciencia sobre los riesgos cibernéticos y no gastan lo suficiente en seguridad, dijo Jeremy Jones , jefe de ciberseguridad de la consultora de TI Theta en Auckland.

"Hay una razón por la que Nueva Zelanda es un objetivo muy jugoso para esto", dijo. “El país está muy digitalizado y, por tanto, depende de Internet y de los servicios en la nube. Pero históricamente, estamos al menos 10 años detrás de Reino Unido y Europa en medidas generales de ciberseguridad en el espacio comercial ".

A diferencia de un pirateo tradicional, en el que un atacante encuentra una manera de entrar en una red informática para robar información o bloquear archivos y exigir un pago, un ataque DDoS es simplemente un asalto de fuerza contundente: dirige más datos inútiles a una empresa u organización de lo que puede. encargarse de.

Un tipo común de ataque DDoS implica convocar una red de dispositivos conectados a Internet, desde computadoras portátiles y servidores hasta dispositivos de IoT, como DVR y monitores para bebés, que han sido infectados con malware. El grupo de dispositivos se conoce como botnet, efectivamente un ejército de robots, que el atacante puede comandar para que haga sus órdenes enviando instrucciones a cada dispositivo o bot, según Cloudflare. La mayoría de las veces, los propietarios de los dispositivos no tienen idea de que sus máquinas han sido secuestradas.

Cuando cientos de miles de dispositivos se enfocan en un solo objetivo, como un servidor o una red, pueden sobrepasar las capacidades de los sistemas. Es una razón, por ejemplo, por la que los servicios de transmisión de programas de televisión populares se bloquean cuando millones de espectadores intentan descargar un episodio al mismo tiempo. Este es el elemento de "denegación de servicio" del ataque.

En las décadas transcurridas desde el primer ataque DDoS ampliamente reconocido en 1999, en una sola computadoraen la Universidad de Minnesota - Los ataques DDoS han aumentado en tamaño, sofisticación y regularidad, debido en parte al crecimiento de Internet y los dispositivos conectados a ella. En la primera mitad de 2020, hubo 4,83 millones de ataques DDoS, un 15% más que el año anterior, según NetScout. Solo en el mes de mayo, la firma registró 929.000 ataques DDoS.

En 2017, en lo que se cree que es el ataque DDoS más grande hasta el momento, Google dijo que los piratas informáticos estatales lanzaron un asalto de seis meses a sus servidores, alcanzando un tamaño de 2,54 terabits por segundo. Un terabit es mil veces más rápido que un gigabit, que transmite datos a mil millones de bits por segundo. En una publicación de blog, Google dijo que el ataque no causó ninguna interrupción.

Hay varias formas en que las empresas pueden reforzar sus defensas cibernéticas contra DDoS, incluido tener suficiente ancho de banda para absorber cualquier diluvio de tráfico basura. También pueden implementar capas de defensas, donde cada una protege la capa detrás de ella, como dijo Google para bloquear el ataque a su red.

Unos meses después del cierre temporal de NZX, los atacantes dirigieron su atención a Telenor Norway, una empresa de telecomunicaciones cuyo centro de operaciones de seguridad se encuentra en la ciudad costera de Arendal, la inspiración para el pueblo mágico de Arendelle en la película de Disney " Frozen ”.

Aproximadamente el 80% del uso de Internet en Noruega proviene de la infraestructura de Telenor Norway, y el centro de operaciones normalmente evita entre cinco y 30 ataques DDoS al día. El ataque de octubre descargó hasta 400 gigabits de datos por segundo en la red, una fracción de lo que se arrojó a Google, pero aún lo suficiente para atraer la atención completa de una empresa del tamaño de Telenor Norway.

Al final, el servicio se interrumpió durante aproximadamente una hora, aunque el ataque duró tres, dijo Andre Arnas, director de seguridad de Telenor Group.

Gunnar Ugland, el jefe del centro de operaciones de seguridad en Noruega, reconoció rápidamente los parámetros del ataque de octubre mientras estaba sucediendo: solo unas semanas antes, su equipo técnico había escrito sobre el ataque NZX en el boletín de la compañía. La compañía también había tenido experiencia previa con importantes ataques DDoS y había construido "una infraestructura bastante masiva" para lidiar con las interrupciones digitales, dijo.

“No siempre es fácil hablar abiertamente sobre estos temas porque muestra cuándo tienes que estar abierto para discutir las amenazas y los riesgos”, dijo Ugland. "Hay muchas empresas que no tienen defensas específicas contra DDoS y probablemente tendrán un problema mayor durante mucho más tiempo".

En Nueva Zelanda, el ataque DDoS ha provocado algunos señalamientos con el dedo, así como frustración porque NZX no estaba mejor preparado.

Jeremy Sullivan, un asesor de inversiones con sede en Christchurch, dijo que podía perdonar una falla temporal, pero no una interrupción de varios días, que retrasó el procesamiento de los pedidos. “Un ataque DDoS es el equivalente a entrar en un banco con un martillo y exigir dinero, es bastante burdo. El hecho de que no tuvieran defensas contra eso fue obviamente decepcionante ”, dijo.

Mientras tanto, algunos investigadores de ciberseguridad dicen que creen saber qué causó la serie inicial de ataques: la dependencia de NZX de dos servidores locales que no tienen el ancho de banda para manejar un ataque DDoS importante. El intercambio estaba en proceso de trasladarse a servidores basados ​​en la nube como parte de una actualización planificada desde hace mucho tiempo cuando se produjo el ataque.

Perder el acceso a esos servidores "significa que eventualmente la compañía deja de existir en Internet", dijo Daniel Ayers, un consultor de seguridad de TI y nube con sede en Nueva Zelanda, que trabajó con el personal de NZX durante la interrupción. "El correo electrónico no se puede entregar, las direcciones web no se pueden resolver".

Peor aún, dijo Ayers, esos servidores no tenían suficiente protección DDoS una vez que comenzó el ataque.

La Autoridad de Mercados Financieros describió la tecnología, el personal y los preparativos de NZX para una crisis como insuficientes. Dijo que un ataque DDoS era "previsible" y "debería haber sido planeado". De hecho, se enviaron correos electrónicos de extorsión similares a empresas de Nueva Zelanda durante 2019 con amenazas de acción similares a las que NZX sostuvo en agosto de 2020, según el regulador.

Independientemente, el ataque DDoS a NZX ha dejado una cosa clara: los días de Nueva Zelanda de actuar como si fuera un "refugio seguro como Hobbiton" han terminado, dijo Andy Prow, director ejecutivo de la firma de ciberseguridad RedShield Security Ltd, con sede en Wellington. , refiriéndose al idílico hogar de los hobbits en "El señor de los anillos".

"Literalmente nos hemos unido al resto del mundo", dijo. "Nueva Zelanda está siendo golpeada tan mal como todos los demás".

MÁS DE GLOBOECONOMÍA

Venezuela 14/05/2021 Venezuela requiere US$58.000 millones para restaurar su producción de petróleo

La petrolera estatal venezolana Pdvsa necesitaría ese monto en inversión para reanimar sus bombeos de crudo a niveles de 1998

México 13/05/2021 ¿Qué detonó la queja de EE.UU. por los derechos de trabajadores de GM en México?

El miércoles, la administración Biden pidió una investigación sobre las acusaciones acerca de que fueron negados los derechos de trabajadores

Energía 13/05/2021 Precios crudo caen por crisis covid-19 en India y reanudación de oleoducto en EE.UU.

El crudo Brent perdía US$1,7, o 2,44%, a US$67,63 el barril a las 1115 GMT, después de haber ganado un 1% el miércoles

MÁS GLOBOECONOMÍA