Los grupos de ciberdelincuentes de América Latina están menos desarrollados que los grandes carteles de ransomware mundiales como Lockbit, Vice Society o Medusa, las bandas que atacaron a OSDE, el Senado de la Nación y la Comisión Nacional de Valores en Argentina, entre otros casos resonantes. Sin embargo, sus tácticas de ataque fueron mejorando y durante los últimos años se detectaron campañas regionales que afectaron a muchas empresas y Estados en la región, una de ellas, haciéndose pasar por la AFIP para instalar un troyano en las víctimas.
Así lo explicó Camilo Gutiérrez, analista de seguridad de ESET, en el segundo día del Foro de Seguridad Informática de ESET Latinoamérica, una conferencia que realiza la empresa de ciberseguridad eslovaca desde hace ocho años en distintas locaciones de América Latina. Con sede en Punta del Este, Uruguay, este 2023 tuvo como eje los peligros de ChatGPT, el mercado negro de Telegram y el “reinado” absoluto del phishing.
Diversos “researchers” de la compañía expusieron las distintas formas de ataque y, durante el segundo día, hicieron especial foco en lo que se conoce como “crimeware”, es decir, la comercialización de programas maliciosos (malware) y servicios desarrollados por hackers que incluso llegan a tener actualizaciones como los programas regulares y hasta servicio técnico.
Esto está relacionado con una suerte de “malware como commodity” que, explicaron, conforma un panorama de amenazas disponibles por un importe bajo, muy sencillos de configurar y que son aprovechados por grupos activos en América Latina.
Acá, un repaso por los tópicos con más peso del segundo y último día del foro.
Operaciones en América Latina: Lux Plague, la que apuntó a la AFIP
Gutiérrez expuso en la apertura de la jornada un trabajo presentado este año en Virus Bulletin junto a Fernando Tavella, otro de los analistas de ESET, una de las conferencias de ciberseguridad más importantes del mundo occidental. Allí contó sobre ciertas operaciones llevadas a cabo en América Latina por actores de amenazas localizados.
En este sentido, marcó una diferencia con los grupos más organizados como Lockbit, conocidos en el rubro como APT (Amenazas Persistentes Avanzadas). Los grupos latinos tienen menos músculo para realizar sus ataques, aunque fueron perfeccionando sus técnicas. Y, por esto, se volvieron más efectivos.
“El año pasado empezamos a publicar el APT Report. Lockbit, Vice Society, Clop, son grupos APT. Cuando hablamos de Vice, Conti, RansomHouse [que hackeó a la red IFX, causando un colapso total en Colombia, Chile e incluso a algunas pymes de Argentina], son grupos que tienen mucho tiempo operando, quizás no se dedican sólo al robo de información, sino que apuntan a empresas para exfiltrar datos de sus servidores, dejan un ransomware, detienen la operación y extorsionan”, explicó en diálogo con este medio y con Télam.
En Latinoamérica, sin embargo, sigue siendo un negocio rentable: “A nivel global el negocio fue disminuyendo para los cibercriminales, porque después de WannaCry se tomó conciencia y muchas empresas empezaron a mejorar sus políticas de backups. Pero en Latinoamérica todavía funciona, porque muchas empresas acá no tienen la costumbre de hacer backups. O si los hacen, dejan los backups dentro de los mismos servidores sobre los que operan, con lo cual cuando los ciberdelincuentes cifran los datos, no pueden recuperarlos”, analizó.
Sin embargo, en la región, los atacantes son menos sofisticados. “Los grupos grandes de ransomware tienen afiliados y trabajan con fondos para poder pagarle a los afiliados. Las bandas de América Latina van con campañas más dirigidas a cada uno de los países para terminar descargando un RAT [remote access tool, herramienta de acceso remoto], robar información y luego venderla”, explicó Gutiérrez.
“Tienen distintos objetivos y una naturaleza distinta de ataque, la complejidad en la que se propagan sus amenazas son diferentes. Si los comparás con estos APT, son menos desarrollados, pero, así y todo, sí hemos visto cómo han ido evolucionando, ya que si comparamos con campañas de 2015, eran mucho más sencillas: un archivo que llegaba a un correo electrónico, se descargaba el adjunto y se infectaba al objetivo”, sigue.
“Hoy ya hay un proceso de infección con más pasos: el correo enviado a la víctima ya tiene un archivo comprimido que tiene otro, que es el que va a dar acceso remoto al atacante”, detalla el especialista.
Estos actores condujeron operaciones bautizadas por ESET: Spalax, que apuntaba a entidades colombianas mediante spear-phishing (phishing dirigido a usuarios concretos, no enviados masivamente), Guinea Pig este año, que suplantaba una conocida app de mensajería e impactó en Colombia, México, Perú y Ecuador y Lux Plague, que apuntaba a suplantar a la AFIP en Argentina en 2022. En este caso, descargaba una variante del troyano de acceso remoto “NjRAT” para espiar a su víctima. Se trata de un código malicioso de código abierto que se encuentra disponible para descargar en sitios donde el malware opera como un commodity.
La empresa habla de “campañas” cuando las detecciones de la telemetría de los servicios que proveen ya brindan suficientes casos como para detectar un patrón y poder analizarlo. El objetivo de todas ellas fue, como denominador común, el robo de información personal y financiera, espionaje, y no se pudo afirmar que estuvieran sponsoreados por un Estado (aunque tampoco se descarta esta hipótesis).
Y todo esto, si se puede llevar adelante, es también por la facilidad con la que los atacantes pueden comprar servicios para atacar.
“Crimeware” y “malware como commodity”
Otro de los conceptos que funcionó como hilo conductor del segundo día del foro fue el de “crimeware”, un concepto que engloba toda comercialización de software malicioso y hasta servicios. “Hay múltiples vendedores en distintas plataformas donde se pueden comprar herramientas para hackear sistemas, datos financieros o personales de usuarios y datos de tarjetas de crédito hasta servicios de hacking ‘rent-a-hacker’”, explicó David González, analista de ESET.
En este sentido, Telegram sigue siendo el mercado negro en el cual más se consigue este tipo de servicio, debido al anonimato (parcial) que brinda la aplicación, además de la posibilidad de crear canales de difusión para ofrecer todo tipo de crimeware. “Los ciberdelincuentes buscan la practicidad por parte de los usuarios y también llegar a más usuarios: para tener más ingresos buscan masividad”, explicó.
Sin embargo, también se venden programas para atacar. “Más allá de la venta de información robada, se ven organizaciones cibercriminales que tienen sus propios sitios y venden commodity malware. Es decir, venden código malicioso, como se puede ejemplificar con Mars Stealer, un tipo de programa para robar información que se ofrece en la dark web en un sitio que tiene una estructura muy similar a la de un ecommerce legal”, explicó la analista Martina López en una charla sobre la estructura y los usos de la dark web.
Otro caso conocido de malware como commodity es “remcos”, un programa que ESET detectó en más de 300 mil oportunidades en lo que va de 2023 (y contando), que es uno de los RAT más buscados (y sofisticados) del mercado.
Este tipo de herramientas facilitan la tarea de los ciberdelincuentes, ya que pueden acceder a servicios sin tener que desarrollarlos y esto arroja ciertas pistas sobre cómo están atacando en América Latina.
“Puede sonar pretencioso apuntar a definir todas las amenazas de la región, pero podemos pensar en un multiverso de amenazas y la descripción de uno de ellos permite ver una tendencia”, aclaró Gutiérrez.
Sobre ESET y el foro de Seguridad Informática
ESET es una empresa de ciberseguridad fundada hace 36 años en Eslovaquia, reconocida mundialmente por sus sistemas de detección y protección online, popularmente conocidos como antivirus. Nod y Nod32 fueron quizás sus productos más conocidos, instalados en millones de computadoras en todo el mundo.
Es el proveedor más grande de Europa y apunta principalmente al sector de pequeñas y medianas empresas y a usuarios finales. Tiene una sede de operaciones regional en Buenos Aires, donde trabajan cerca de 90 personas.
Este año viajaron a Punta del Este 16 periodistas de América Latina (3 de México, 3 de Brasil, 2 de Colombia, 2 de Perú, 2 de Chile, 3 de Argentina -Clarín, TN Tecno y Télam-, y 1 de Uruguay). Fueron, en total, 24 charlas entre conferencias, demostraciones y talleres interactivos.