2023 en revisión: Tendencias cibernéticas destacadas en América Latina
Introducción
Hubo muchos informes sectoriales que resumieron que pasó durante del año 2023, pero pocos mencionaron lo que ocurrió en América Latina. Por eso, estamos abordando esta falta de información mediante un análisis del panorama de amenazas cibernéticas en la región durante los últimos 12 meses. ¿Cuáles fueron los actores de amenazas más significativos? ¿Qué tendencias regionales deben tener en cuenta los defensores de redes? ¿Y cuáles seguirán siendo las principales amenazas en América Latina en 2024?
Estas son las 3 tendencias cibernéticas más notables de 2023 en la región:
Ransomware: Al igual que en la mayoría del mundo, América Latina fue víctima de aumentos exponenciales en ataques de ransomware. Un informe de ESET Security estimó que el 69% de las empresas en la región se vieron afectadas. Como resultado de la prevalencia de ransomware, se ha generado esfuerzos multilaterales para combatir el ransomware. Recientemente, 50 gobiernos nacionales (incluidos los de Colombia, Costa Rica, República Dominicana, México y Uruguay) firmaron la Iniciativa Internacional contra el Ransomware (CRI).
Aumento de actividades de adversarios extranjeros y nacionales: Varios grupos cibercriminales extranjeros y nacionales lanzaron ataques significativos contra víctimas en América Latina. Por un lado, las amenazas persistentes avanzadas (APTs, por sus siglas en inglés) extranjeras están apuntando Centroamérica y Sudamérica por campañas de espionaje. Por otro lado, América Latina alberga a muchos grupos con motivaciones criminales que se dirigen principalmente a países dentro de la región.
Troyanos bancarios: Los troyanos bancarios, o malware que parece ser software legítimo pero que roba datos financieros confidenciales, son particularmente abundantes en América Latina. El número de detecciones de troyanos bancarios en la región aumentó un 50% el año pasado. Los países más afectados incluyeron: Argentina, Brasil, Chile, Colombia, Ecuador, México y Perú.
Echar una mirada de cerca
Ransomware
El ransomware es una preocupación crucial para las organizaciones a lo largo del mundo. Investigaciones recientes muestran que el 96% de las organizaciones latinoamericanas están profundamente preocupadas por el ransomware. Abajo presentamos algunas de las principales variantes de ransomware que operan en la región:
SeigedSec: Grupo hacktivista activo desde febrero de 2022; robó bases de datos, documentos internos y datos de usuarios de organizaciones gubernamentales y de salud colombianas en noviembre de 2023.
Nokoyawa: Grupo ruso activo desde febrero de 2022; el grupo robó datos de un laboratorio brasileño a principios de 2023.
ALPHV/BlackCat: Operador de ransomware como servicio (RaaS) activo desde noviembre de 2021; recientemente filtró datos robados de empresas mexicanas.
Stormous: Grupo que habla árabe activo desde 2021; ha operado junto con hacktivistas de GhostSec y ha atacado a víctimas en toda América Latina (especialmente Cuba).
Vice Society: Activo desde 2022; principalmente dirige sus ataques a los sectores de educación, médico y manufactura en Argentina, Brasil, Israel y Suiza.
Nota: Esta información no es exhaustiva. Todos los datos vienen de referencias disponibles de fuentes abiertas; se puede proveer una lista completa a pedido.
¿Qué están haciendo adversarios domésticos en LATAM?
América Latina tiene grupos de ciberdelincuentes que han dirigido operaciones notables que causaron daño extendido. Vamos a analizar algunos de estos adversarios...
Uno de los grupos más sofisticados y activos de la región es ÁGUILA CIEGA (APT-C-36). Este actor de amenazas frecuentemente lleva a cabo campañas de espionaje utilizando cadenas de infección de múltiples etapas y troyanos de acceso remoto (RATs). ÁGUILA CIEGA también es conocido por su enfoque localizado, utilizando herramientas para geolocalizar víctimas y abortar ataques si detectan una dirección IP o una VPN no colombiana. Este adversario comenzó el 2023 lanzando campañas de phishing contra víctimas en Colombia y Ecuador además de explotar a organizaciones en Colombia mediante archivos con doble extensión y el DLL de Fsociety. Varios meses después, ÁGUILA CIEGA comenzó a utilizar njRAT para atacar a víctimas en Chile, Colombia, Ecuador, España y posiblemente México.
También vimos el surgimiento de nuevos grupos en la región. En mayo de 2023, SCILabs publicó las actividades de Red WinterDog, un nuevo actor de amenazas que principalmente ataca a víctimas en México. Este adversario utiliza campañas de malvertising para obtener un punto de apoyo en los sistemas de las víctimas y las explota con inyección de código en el navegador y el uso de PowerShell .NET. Además, la empresa tecnológica israelí Perception Point anunció su descubrimiento de Manipulated Caiman, un adversario probablemente basado en América Latina que ataca a clientes bancarios en México. Manipulated Caiman utiliza operaciones de spearphishing complejas para geolocalizar víctimas y desplegar malware. Según los investigadores, este actor de amenazas ha ganado más de USD 55 millones desde el inicio de sus actividades en 2021.
¿Qué están haciendo adversarios extranjeros en LATAM?
China
En 2023, los hackers patrocinados por el estado chino fueron más activos en América Latina que en años anteriores. En febrero de 2023, el equipo de inteligencia de Microsoft observó un ataque del grupo de espionaje DEV-0147 contra entidades diplomáticas en países sudamericanos. Según Microsoft, esta serie de campañas marcó una "expansión notable de las operaciones de exfiltración de datos del grupo, lo cual tradicionalmente apuntaba a agencias gubernamentales e institutos de investigación en Asia y Europa".
Más tarde el año pasado, investigadores descubrieron una campaña de ciberespionaje (Operación Jacana) dirigida contra agencias gubernamentales en Guyana. Se cree que el adversario, alineado con el gobierno chino, utilizó la puerta trasera DinodasRAT para ejecutar comandos, manipular claves del registro de Windows y exfiltrar archivos.
Iran
Los APTs iraníes también han estado activos en la región. Por ejemplo, en septiembre de 2023, el adversario iraní Charming Kitten (también conocido como APT35 y Ballistic Bobcat) utilizó la nueva puerta trasera Sponsor para comprometer 34 organizaciones en Brasil, Israel y los Emiratos Árabes Unidos. Específicamente, los actores de amenazas explotaron servidores vulnerables de Microsoft Exchange para acceder a los sistemas de víctimas y luego desplegaron el malware Sponsor en el disco.
Líbano
A principios del año pasado, más de 700 dispositivos en América Central y del Sur (principalmente en la República Dominicana y Venezuela) fueron infectados con spyware. Dark Caracal, un APT cibernético mercenario libanés, apuntó a las víctimas con una versión modificada del malware Bandook. Esta nueva variante incluyó varias actualizaciones, como el uso de DES para cifrar la carga útil de la segunda etapa y la adición de comandos para habilitar cámaras web, añadir o eliminar archivos, grabar la pantalla, iniciar una sesión de RDP y descargar otras librerías.
Troyanos bancarios brasileños: un problema único de LATAM
Nuestra última tendencia destacada de 2023 es la prevalencia de troyanos bancarios en la región. En julio de 2023, Kaspersky descubrió que 8 de las 13 familias de troyanos bancarios activas en el mundo son desarrolladas en Brasil. También Brasil es el líder mundial en el número de detecciones de troyanos bancarios (seguido de cerca por Rusia, China e India, respectivamente). Como resultado, las víctimas en toda América Latina son frecuentemente apuntadas en ataques de troyanos bancarios. Aunque los troyanos bancarios brasileños son los más activos en la región, hay evidencia creciente de que los desarrolladores de malware están vendiendo sus herramientas a operadores en Europa.
Nota: Esta información no es exhaustiva. Todos los datos vienen de referencias disponibles de fuentes abiertas; se puede proveer una lista completa a pedido.
Conclusión
El año 2023 ciertamente no fue tranquilo para las organizaciones en América Latina. Desde combatir ataques de ransomware hasta enfrentar adversarios cibernéticos y detectar malware de troyanos bancarios, los defensores de redes enfrentaron muchos desafíos. Para construir una defensa resiliente, usuarios en la región deben continuar explorando e identificando vectores de ataque. Por ejemplo, spearphishing sigue siendo el método más explotado para acceso inicial en la región.
Mirando hacia el futuro en 2024, América Latina debería esperar los mismos riesgos. Abajo presentamos algunas de las principales amenazas que anticipamos en el nuevo año:
El ransomware seguirá siendo una de las principales amenazas para los sectores público y privado en la región, así como a nivel mundial. Sin embargo, es menos probable que víctimas paguen el rescate y es probable que las capacidades nacionales de respuesta a incidentes se fortalezcan debido a iniciativas de contra-ransomware.
Los dispositivos Android, sistemas vulnerables y confianza humana serán los más comúnmente explotados para ganar acceso inicial durante ataques.
Es probable que se aumenten los ataques de criptomonedas debido al uso extendido en América Central y el Caribe. En 2021, El Salvador adoptó Bitcoin como moneda de curso legal; esta mayor dependencia de las plataformas de criptomonedas podría exponer vulnerabilidades potenciales para explotación.
Los ciberataques lanzados por APTs patrocinados por estados extranjeros, especialmente aquellos basados en Rusia y China, aumentarán en América Latina como resultado de los actuales acuerdos comerciales y de defensa.
Es probable que la gobernanza cibernética nacional en la región mejore, especialmente en países con democracias estables y entornos de seguridad. Líderes cibernéticos regionales como Brasil y Chile pueden aumentar el apoyo a otras naciones para mejorar las capacidades regionales en general.
Approved for Public Release; Distribution Unlimited 23-02410-4. ©2024 The MITRE Corporation. ALL RIGHTS RESERVED.