Picture of the author
Published on

Latinoamérica se ha convertido en objetivo para robo de información de ciberbandas

Authors
conti ransomware

Rafael Olivares

Millones de dólares han tenido que pagar gobiernos y empresas por estos hackers para recuperar sus sistemas informáticos o evitar la divulgación de información privada o estratégica

Los ataques con “Ransomware”¨son cada vez más frecuentes contra las empresas e instituciones gubernamentales de Latinoamérica. La compañía de seguridad informática Kaspersky reportó que del año 2019 al 2021 se incrementaron los ataques a empresas latinoamericanas un 207%. Kaspersky Lab es una compañía multinacional dedicada a la seguridad informática con presencia en aproximadamente 200 países del mundo. Su sede central se encuentra en Moscú, Rusia, mientras que el holding está registrado en Reino Unido. Es reconocida como una de las más importantes del mundo,

Los ransomwares son una forma de software malicioso que bloquea y cifra los datos de un dispositivo de la víctima y luego exige rescate para restaurar el acceso a los mismos. Debido al cifrado moderno es irrompible sin la clave de descifrado, obligando a la víctima a pagar el rescate para recuperar los datos.

En mayo de 2017 ocurrió un ataque masivo mundial con un ransomware llamado Wanna Cry, con más de 230.000 ordenadores infectados y más de 150 países aprovechándose de una vulnerabilidad descubierta por la NSA para el sistema operativo windows (Eternal Blue) y dando la capacidad a los atacantes de acceder fácilmente a miles de ordenadores y encriptando los datos y exigiendo una recompensa de 300$ dólares a través de la criptomoneda bitcoins.

El Wanna Cry, es un ransomware de cifrado, un tipo de software malicioso (malware) que los cibercriminales utilizan a fin de extorsionar a un usuario para que pague. El ransomware ataca cifrando archivos valiosos para que no puedas acceder a ellos, o bien bloqueando tu acceso al ordenador para que no puedas utilizarlo.

En su momento estos ataque fueron más populares principalmente en países desarrollados, pero en los últimos años, los países han invertido importantes sumas en seguridad para evitar este tipo de ataques, haciendo más difícil vulnerar sus sistemas y haciendo que los piratas informáticos tengan que buscar otros mercados.

Latinoamérica en la mira

Por el aumento de la seguridad en los sistemas en los países más desarrollados los piratas informáticos comenzaron a mirar a países donde la inversión en ciberseguridad es baja, por lo tanto encuentran un mayor número de equipos vulnerables para este tipo de ataques.

Los gobiernos de Latinoamérica también han sido víctimas del crecimiento de estas empresas de espionaje en estos últimos años, donde destacan ataques a los gobiernos de Costa Rica, Perú, Colombia y Ecuador, a quienes les exige sumas millonarias de dinero para entregarles las calves para recuperar sus sistemas.

El principal grupo responsable de gran parte de estos ataques se le atribuyen a la banda criminal Conti, que en su propio blog en la deep web hicieron público una gran cantidad de datos filtrados a la Junta Administrativa del Servicio Eléctrico de Cartago y el Ministerio de Ambiente, Energía y Telecomunicaciones del gobierno de Costa Rica, filtrando más de 600GB de datos. El grupo de investigadores AnvIntel publicó un reporte donde detalló una operación del grupo Conti contra el Ministerio de Hacienda de Costa Rica, como su punto de acceso inicial. Este ataque al Ministerio de Hacienda fue, en última instancia, parte de un ataque mucho mayor contra el gobierno de Costa Rica.

Al grupo le tomó 5 días el ataque, primero la infección siguió un flujo de ataque en el que obtuvieron acceso administrativo a través de una VPN previamente comprometida. El robo de estas credenciales se obtuvieron con la instalación encriptada de un software utilizado en pruebas de penetración llamado Cobalt Strike en una subred del Ministerio.

Una vez dentro de la red utilizaron diversas herramientas para obtener el control de los directorios activos de la red local del instituto. Y finalmente con herramientas como shareFinder y AdFinder escanearon la red para la búsqueda de archivos sensibles, exigiendo un pago de USD 10 millones a cambio de no liberar la información robada del Ministerio de Hacienda, con información sensible de las declaraciones de impuestos y posteriormente estos datos fueron filtrados en el blog del grupo criminal.

Jorge Mora ex director del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones explica que los ataque afectaron a los sistemas de importación y exportación del país. Los informes locales dicen que las empresas se enfrentaron a la escasez de contenedores de envío y las pérdidas estimadas van desde 38 millones de dólares por día hasta 125 millones en 48 horas. Mora explica que los ataques que Conti violaron diferentes organizaciones gubernamentales casi todos los días entre el 18 de abril y el 2 de mayo.

El 8 de mayo, Rodrigo Chaves inició su mandato de cuatro años como presidente de Costa Rica e inmediatamente tuvo que declarar una “emergencia nacional” debido a los ataques de ransomware, siendo esta la primera vez que el gobierno de ese país centroamericano se declaraba en emergencia nacional por un ciberataque. A pocos días de este ataque el mismo grupo logró vulnerar y filtrar datos de la Dirección Nacional de Inteligencia de Perú.

Si bien Conti, fue uno de los grupos de ransomware más activos entre 2020 y 2021, dejó de operar con ese nombre y ahora son conocimos como el equipo Quantum, manteniendo vínculos con otros grupos de ransomware en actividad, siguiendo utilizando los mismos mecanismos para comprometer a nuevas organizaciones.

Estos ataques en Latinoamérica no han sido exclusivamente realizados por el grupo Conti. Existe registro de un gran número de ataques por otros grupos de piratas informáticos a diferentes instituciones gubernamentales y privadas como son los casos de la empresa de Aerolíneas colombiana Viva Air que el 14 de marzo de este año fueron víctimas de un ataque con una filtración de 18,25GB por parte de la banda de Ransomware RansomEXX y el ataque a la empresa Argentina Mercadolibre donde el grupo Lapsus$ accedió a los datos de unos 300.000 usuarios.

Nuestro equipo, EKO Red, luego de realizar una búsqueda a través de diferentes páginas web en la red TOR de algunos grupos conocidos de ransomwares, pudimos encontrar otras filtraciones a empresas e instituciones latinoamericanas como los leaks del grupo Everest ransom team a organizaciones como el Ministerio de Economía y Finanzas de Perú con más de 700GB de data, el Instituto Nacional de Tecnología Agropecuaria accediendo a los datos de sus bases de datos SQL, el grupo Raknar Locker filtro dato de el Grupo SADA de Brasil donde accedieron a 6,95GB de datos de empleados y clientes, el grupo Blactor tiene a la venta 14GB de datos de La Universidad Experimental de Caracas por un monto de 10.000$ y uno de los grupos más grandes Team Hive que en su portal tienen un sin fin de leaks de todo tipo de empresas de todo el mundo incluyendo de LATAM a Rodonaves de Brasil, Instituto de gestión estratégica del distrito federal de Brasil, Claro Colombia, SSK Ingenieria y construcción de Perú, Rotoplas de México, Unicred de Brasil, Caracol TV de Colombia, Palacio y Asociados de Perú, Konecta de Argentina, an American energy de Argentina, Banco Caribe de República Dominicana, Arte Radio Televisivo de Argentina y una numerosa cantidad de grupos especializados en los ransomwares.

leak 2

Pudimos observar en casos como el portal del grupo LockBit muestra las diferentes filtraciones que actualmente se encuentran en cuenta regresiva para el pago e incluso el monto pedido por el grupo de piratas, con sumas de dinero desde 100.000 hasta 600.000 dólares a una gran cantidad de empresas de todo el mundo, con más de 30 leaks activos para ser pagados en las próximas dos semanas.

leak 1

Es importante destacar qué existen casos en los que pagar la extorsión no garantiza que estos grupos procedan al rescate de los datos que fueron encriptados y una vez realizado el ataque es muy difícil evitar la filtración de los datos robados por la poca ética manejada por muchos de estos grupos.

Gran parte de estos ataques se producen por vulnerabilidades en versiones desactualizadas en la plataforma tecnológica de las empresas o fallos humanos por falta de protocolos de seguridad por parte del personal. Por eso la mejor forma de evitar estos ataques es con la prevención e inversión en la seguridad de las instituciones es tomar medidas de prevención con asesoramiento especializado.

¿Qué medidas se deben tomar?

Realizar auditorías y pruebas de penetración de los sistemas.

Asegurar el mantenimiento y actualización de los diferentes software utilizados.

Disponer de monitoreo y plataformas de ciberseguridad.

Disponer de personal capacitado para la protección de los datos y redes internas.

Detectar posibles empleados descontentos.

Formación y capacitación en materia de seguridad informática y protocolos de seguridad a los empleados.

El malware de rescate, o ransomware, es un tipo de malware que impide a los usuarios acceder a su sistema o a sus archivos personales y que exige el pago de un rescate para poder acceder de nuevo a ellos. Las primeras variantes de ransomware se crearon al final de la década de los 80, y el pago debía efectuarse por correo postal. Hoy en día los creadores de ransomware piden que el pago se efectúe mediante criptomonedas o tarjetas de crédito.