imágenes falsas
Los ciberatacantes están experimentando con su último ransomware en empresas de África, Asia y América del Sur antes de atacar a países más ricos que tienen métodos de seguridad más sofisticados.
Los piratas informáticos han adoptado una “estrategia” de infiltrarse en sistemas en el mundo en desarrollo antes de pasar a objetivos de mayor valor, como América del Norte y Europa, según un informe publicado el miércoles por la firma de seguridad cibernética Performanta.
«Los adversarios están utilizando los países en desarrollo como una plataforma donde pueden probar sus programas maliciosos antes de que los países con más recursos sean atacados», dijo la compañía a Banking Risk and Regulatory, un servicio de FT Specialist.
Los objetivos recientes de ransomware incluyen un banco senegalés, una empresa de servicios financieros en Chile, una firma tributaria en Colombia y una agencia económica gubernamental en Argentina, que fueron atacados como parte de los simulacros de las pandillas en países en desarrollo, según mostraron los datos.
La investigación se produce cuando los ataques cibernéticos casi se han duplicado desde antes de la pandemia de COVID-19, exacerbados en el mundo en desarrollo por la rápida digitalización, buenas redes de Internet y una protección “inadecuada”, dijo el FMI este mes.
Las pérdidas reportadas por incidentes cibernéticos a empresas de todo el mundo desde 2020 habían aumentado a casi 28 mil millones de dólares, con miles de millones de registros robados o comprometidos, dijo el FMI, y agregó que los costos totales probablemente serían “sustancialmente más altos”.
La táctica de “preparación” funcionó porque las empresas en esos países tenían “menos conciencia de la seguridad cibernética”, dijo Nadir Izrael, director de tecnología del grupo de seguridad cibernética Armis.
«Digamos que vas a atacar a los bancos», dijo Izrael. «Se probaría un nuevo paquete de armas en un país como Senegal o Brasil, donde hay suficientes bancos que podrían ser similares, o brazos internacionales de empresas que son similares a lo que uno quisiera intentar atacar».
Medusa, una banda cibernética que “convierte archivos en piedra” robando y cifrando datos de empresas, comenzó a atacar empresas en 2023 en Sudáfrica, Senegal y Tonga, según el informe de Performanta. Medusa fue responsable de 99 infracciones en Estados Unidos, Reino Unido, Canadá, Italia y Francia el año pasado.
Los equipos de seguridad detectarían alertas sobre un ataque pendiente, pero el usuario promedio sólo se daría cuenta de uno cuando estuviera bloqueado de su sistema informático, dijo Hanah-Marie Darley, directora de investigación de amenazas de la firma de seguridad cibernética Darktrace.
Un archivo, con la línea de asunto !!!READ_ME_MEDUSA!!!.txt., indicaría al usuario que inicie sesión en la web oscura e inicie la negociación del rescate con el “servicio al cliente” de la pandilla. Si las víctimas se niegan, los ciberatacantes publican los datos robados.
Las empresas de seguridad cibernética monitorean la web oscura en busca de información y luego crean “honeypots” (sitios web falsos que imitan objetivos atractivos) en países en desarrollo para detectar ataques experimentales en una etapa temprana.
Cuando un grupo de ciberatacantes comenzó este año a discutir una nueva vulnerabilidad, denominada CVE-2024-29201, «se dirigieron específicamente a algunos [exposed servers] en países del tercer mundo para probar qué tan confiable era el exploit”, dijo Izrael de Armis, cuyos analistas estaban monitoreando las conversaciones de la pandilla en la web oscura.
Los ataques a los honeypots de Armis, 11 días después, confirmaron las sospechas: la banda sólo atacó el Sudeste Asiático, antes de utilizar las técnicas más ampliamente en una fase posterior.
Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft, sin embargo, dijo que algunas bandas cibernéticas eran demasiado “oportunistas” para probar nuevos ataques de manera tan metódica.
Más bien, los países en desarrollo habían experimentado una mayor actividad a medida que los piratas informáticos de los países más pobres podían comprar ransomware barato y realizar sus propios pequeños ataques, dijo DeGrippo.
Pandillas como Medusa habían comenzado a vender sus inventos a piratas informáticos menos sofisticados, dijo el director de Darktrace, Darley. Esos piratas informáticos de menor escala a menudo no sabían cómo funciona la tecnología y la usaban contra objetivos más fáciles, dijo.
Cualquier atacante que se tomara el tiempo de “aislar sus técnicas” (para experimentar en zonas cibernéticas relativamente desprotegidas en países en desarrollo) era más sofisticado, añadió.
Teresa Walsh, directora de inteligencia del organismo global de inteligencia sobre amenazas cibernéticas FS-ISAC, dijo que las pandillas trabajarían dentro del entorno local para «perfeccionar» los métodos de ataque, dijo, y luego «exportar» sus esquemas a países donde se pueda hablar el mismo idioma. : Desde Brasil hasta Portugal, por ejemplo.
La velocidad de la adopción digital en África está «superando el desarrollo de medidas sólidas de seguridad cibernética, y la conciencia general sobre las amenazas cibernéticas es baja», dijo Brendan Kotze, analista cibernético de Performanta.
«En combinación, esto crea una brecha cada vez más preocupante en las defensas que los ciberdelincuentes están explotando», añadió.
Ellesheva Kissin es reportera de Regulación y Riesgo Bancario, un servicio de FT Specialist.
© 2024 The Financial Times Ltd. Todos los derechos reservados. No debe ser redistribuido, copiado ni modificado de ninguna manera.