Group-IB presenta Hi-Tech Crime Trends 23/24: la ola de ataques de ransomware, las tarjetas comprometidas, las filtraciones y los ladrones de información que bombardean América Latina
Group-IB, creador líder de tecnologías de ciberseguridad para investigar, prevenir y luchar contra los delitos digitales, ha presentado una visión general integral del panorama de las ciberamenazas en la región de América Latina (LATAM) durante los años 2023/2024 con el lanzamiento de su informe anual Hi-Tech Crime Trends.
El informe brinda un análisis minucioso de cómo han evolucionado los desafíos en materia de ciberseguridad en la región de LATAM.
En 2023, investigadores de Group-IB identificaron un aumento del 53 % en la cantidad de tarjetas comprometidas emitidas por bancos de LATAM. Cabe destacar que México encabezó la lista con 447.784 tarjetas comprometidas.
Los ataques de ransomware en la región de LATAM experimentaron un incremento de 19 % en 2023, con empresas de los sectores de manufactura y finanzas como las víctimas más habituales.
Brasil y México continuan liderando la lista de los países que son atacados con mayor frecuencia por filiales de Ransomware-as-a-service (RaaS).
Los ladrones de información plantean una preocupación importante, con un impacto de 374.458 dispositivos infectados en la región, cuyos logs se publicaron en Underground Clouds of Logs (UCL).
Adicionalmente, encontramos otros 850.984 hosts, cuyos registros se pusieron a la venta en mercados clandestinos.
Hacia fin de año, los investigadores de Group-IB revelaron el primer Troyano de iOS, que recolecta datos biométricos, denominado GoldPickaxe.iOS.
Al igual que su hermano Android, está enfocado a atacar a usuarios en la región de Asia-Pacífico, pero es poco probable que el Troyano limite su actividad a estos dos mercados.
Un análisis de artefactos descubiertos, en particular, las conexiones entre GoldFactory y el Troyano Gigabud, sugiere que el grupo puede expandir su actividad hacia América Latina y más allá.
El sistema operativo de Apple está cada vez más siendo un objetivo de estos actores de amenazas, tal como lo demuestra la creciente cantidad de Troyanos de iOS y ladrones de información específicamente diseñados para macOS y que están siendo comercializados en los mercados clandestinos.
Crónicas de Ransomware: la tormenta continúa en 2023
La proliferación de ataques de ransomware persistió el año pasado, con un número creciente de empresas que experimentaron la vulneración de sus sistemas críticos y la exposición de su información confidencial.
El ransomware, muy poderoso tanto en escala como en impacto, siguió presentando una amenaza importante en la región latinoamericana.
El año pasado, Group-IB identificó 224 empresas de la región de LATAM cuya información fue publicada en diferentes ransomware Data Leak Sites (DLS).
Lo cual se traduce en un aumento aproximado de 19 % respecto del año anterior cuando apareció información correspondiente a 189 empresas víctimas en sitios de DLS.
En 2023, el sector manufacturero fue el más afectado de la región, contando con el 10 % del total de empresas víctimas cuyos datos se publicaron en sitios de DLS.
La industria de servicios financieros ocupó el segundo lugar y fue afectada por el 9 % de todos los ataques en la región. La industria de salud siguió en tercer lugar y se vio involucrada en el 8% de los ataques.
En cuanto a los grupos de ransomware más activos en la región, LockBit ocupó el primer puesto con el 35 % de todas las víctimas en la región de LATAM cuyos datos se publicaron en sitios de DLS.
En el segundo puesto, estuvo BlackCat (ALPHV) con 10,2 % de los ataques. 8base ocupo el tercer puesto, con el 9,8 % de todas las víctimas de ransomware en la región de LATAM publicadas en sitios DLS de ransomware.
En 2023, Brasil (país número uno en la lista de objetivos más frecuentes) experimentó un aumento de 11 % en el número de víctimas de ransomware publicadas en sitios de DLS, aumentando de 66 en 2022 a 73 el año pasado.
México presentó una subida importante de 77 %, pasando de 26 a 46 víctimas.
El panorama de amenazas de ransomware en Argentina escaló con un crecimiento de 14% de 22 a 25 víctimas publicadas en sitios de DLS.
Cabe destacar que se estima que la cantidad real de ataques de ransomware es bastante mayor, ya que muchas víctimas eligen pagar el rescate y otros grupos de ransomware no utilizan sitios de DLS.
Mercado a la baja: caída en la actividad de los intermediarios
Los facilitadores de ransomware, que venden el acceso inicial a las redes corporativas en la Dark Web, conocidos como intermediarios de acceso inicial (IAB, por sus siglas en inglés), adaptándose a las demandas de otros actores de amenazas en la región de LATAM, experimentaron una caída.
En 2023, el acceso a redes corporativas de empresas de LATAM fueron ofrecidas en venta 261 veces, lo que marcó una disminución del 25 % respecto de las 349 instancias en 2022.
Esta caída podría atribuirse al hecho de que ahora hay más intermediarios directamente dedicados a las operaciones de ransomware como servicio (RaaS, por sus siglas en inglés).
El sector más afectado en términos de ofertas de acceso a redes comprometidas en 2023 en esta región fue el complejo militar-industrial y las organizaciones gubernamentales (con un 13 % de todas las ofertas dirigidas a la región).
Los servicios profesionales y las industrias de comercio y consumo ocuparon el segundo lugar ( con el 6 % de todas las ofertas de acceso dirigidas a la región, cada una).
En términos de países afectados, Brasil ocupa el primer lugar con 95 instancias de acceso puestas a la venta, lo que representa un 36 % de todas las ofertas detectadas en la región por analistas de Group-IB.
Siguen México ( con 37 ofertas de acceso detectadas por Group-IB), Argentina (33), Colombia (24) y Chile (19). Uno de los IAB más activos de la región fue SelfZer0 (también conocido como Zerk0m).
De todas las ofertas dirigidas a LATAM que SelfZer0 puso a la venta, el 50 % estuvieron relacionadas con el acceso a redes corporativas de empresas en Brasil, ofrecido ya sea con privilegios de administrador local o de dominios.
Raccoon y amigos que roban
Los logs de ladrones de información se han convertido en una de las principales formas en que los ciberdelincuentes han logrado obtener acceso a redes corporativas, por ser muy simples, y muy eficaces.
Los ladrones de información son un tipo de malware que recolecta credenciales almacenadas en los navegadores, datos de tarjetas bancarias, información sobre crypto wallets, cookies, historial de navegación y demás información de navegadores instalados en dispositivos infectados.
Underground Clouds of Logs (UCL) grátis son una de las principales fuentes de datos sobre hosts infectados.
Durante el año pasado, hubo un aumento del 37 % en la cantidad de hosts infectados en la región de LATAM cuyos registros se publicaron en UCLs, alcanzando los casi 375.000. Brasil y México siguen siendo los países atacados con mayor frecuencia en la región de LATAM en términos de cantidad de hosts infectados detectados en UCLs.
Los mercados clandestinos también están al alza. A diferencia de los UCLs, donde gran parte de los registros se distribuyen de manera gratuita, los mercados clandestinos siempre se utilizan para vender registros de hosts vulnerados por ladrones de información.
En 2023, se registró un aumento del 29 % en comparación con 2022, y el número total de hosts puestos a la venta relacionados con la región de LATAM fue 850.984.
Brasil, México y Colombia son los principales objetivos, sobre la base de los registros encontrados en mercados clandestinos con 366.579 y 100.264 registros detectados en 2023, respectivamente.
Chile ocupó el sexto lugar con más de 36.000 hosts comprometidos. RedLine Stealer, Raccoon y Vidar son los ladrones de información más populares entre los ciberdelincuentes que atacan la región.
La vuelta del carding
Después de unos años de merma, el mercado del carding ilícito volvió a emerger, una tendencia atribuible al mayor uso de JavaScript sniffers (JS-sniffers) y la creciente popularidad de los ladrones de información.
En 2023, investigadores de Group-IB observaron un importante aumento del 53 % en la cantidad de tarjetas comprometidas emitidas por bancos de la región de LATAM de 807.506 en 2022 a 1.239.183 el año pasado.
México experimentó un notable aumento del 62 % en la cantidad de tarjetas comprometidas, que ascendió de 276.462 en 2022 a 447.784 en 2023.
Brasil demostró un crecimiento sustancial, con un alza vertiginosa de 51 % de 184.376 a 279.166 tarjetas comprometidas.
En Argentina y Colombia, la cantidad de tarjetas comprometidas detectadas aumentó 62 % y 117 %, con un total de 92.433 y 66.034, respectivamente, en 2023. Chile presentó incrementos notables, 39.568 tarjetas comprometidas y un crecimiento porcentual de 116 %.
Ola de filtraciones
En 2023, se detectaron 166 nuevas instancias de filtración de datos en el dominio público en la región de LATAM, pero sólo el 9 % de las bases de datos contenían contraseñas.
Como parte de estos incidentes, más de 204 millones de cadenas de caracteres con datos de usuarios se vieron comprometidas. Brasil, México y Argentina fueron los más afectados, con 62, 41 y 20 instancias de filtración de datos, respectivamente.
Las direcciones de correo electrónico, los números de teléfono y las contraseñas presentan el mayor riesgo, ya que pueden ser utilizados por los actores de amenazas para diversos tipos de ataques.
De todos los datos filtrados, 39.233.460 de entradas contenían direcciones de correo electrónico (18.435.729 de las cuales eran exclusivas).
También, se detectaron 3.430.850 filtraciones de contraseñas (1.964.042 de las cuales eran exclusivas) y 110.822.176 entradas con números telefónicos (51.402.084 de las cuales eran exclusivas).
Hi-Tech Crime Trends 23/24 de Group-IB resalta los cambios en el comportamiento de los actores de amenazas, la aparición de nuevos TTPs y las tendencias generales que han venido a definir la naturaleza evolutiva de las amenazas a la ciberseguridad.
Si desea descargar el informe, haga clic en https://www.group-ib.com/resources/research-hub/hi-tech-crime-trends-2023-latam/.
Acerca del informe de Hi-Tech Crime Trends
Group-IB presenta sus informes anuales desde 2012, en los que integra datos recolectados por medio de las propias investigaciones de la empresa con resultados sobre respuesta ante incidentes a nivel mundial.
El informe, que sirve de guía para una amplia diversidad de expertos —en gestión de riesgos, transformación digital de los negocios, planificación estratégica en el campo de la ciberseguridad e inversión en la protección de sistemas de información—, ofrece previsiones anuales que siempre resultaron precisas.
Para los especialistas técnicos, entre ellos, los equipos de СISO, SOC y DFIR, investigadores y analistas de malware, como también expertos en búsqueda de amenazas o Threat Hunting.
El informe de Group-IB brinda la oportunidad de analizar la relevancia de las políticas en materia de ciberseguridad, ajustar la configuración de la seguridad de sus sistemas y reforzar sus conocimientos para combatir las ciberamenazas relativas a su sector.
Este año, Group-IB implementó diversas mejoras significativas en su informe Hi-Tech Crime Trends, con el fin de brindar información más precisa y relevante a sus lectores. En primer lugar, Group-IB modificó sus plazos de presentación de informes para comparar años calendario.
La segunda mejora más importante fue el suministro por parte de Group-IB de inteligencia estratégica específica para cada región en cada capítulo.
Otras nuevas incorporaciones incluyen una sección exclusiva dedicada a las amenazas de IA y un análisis exhaustivo de las formas en que los ciberdelincuentes abusan de los servicios legítimos.
Gracias al uso de herramientas exclusivas para rastrear la infraestructura de los ciberdelincuentes, así como un estudio de investigación riguroso por parte de varios equipos de ciberseguridad a nivel mundial.
Todos los años, expertos de Group-IB identifican y confirman patrones comunes que forman un panorama general del desarrollo de ciberamenazas en el mundo.
Esto forma la base de previsiones futuras enunciadas en el informe, que permiten a las empresas de todo el mundo elaborar estrategias de ciberseguridad eficaces basadas en amenazas relevantes.
Para más información, visite el centro de investigación de Group-IB.
Group-IB una trayectoria distinguida
Fundada en 2003 y con sede en Singapur, Group-IB es el principal creador de tecnologías de ciberseguridad para investigar, prevenir y combatir los delitos digitales.
La lucha contra los ciberdelitos forma parte del ADN de la empresa, moldeando sus capacidades tecnológicas para defender a los empresarios y ciudadanos, y colaborar con la actividad policial.
En noviembre de 2023, Group-IB celebró el 20° aniversario de su fundación con una diversidad de eventos increíbles que marcaron el crecimiento mundial de la empresa y su gran aporte a las operaciones internacionales de cumplimiento de la ley para acabar con los delitos cibernéticos.
Los Centros de Resistencia contra los Delitos Digitales (DCRC, por sus siglas en inglés) de Group-IB están situados en el Medio Oriente, Europa, Asia-Pacífico y Asia Central (próximamente en LATAM) para ayudar a analizar de manera crítica y mitigar de inmediato amenazas regionales y nacionales.
Estas unidades esenciales ayudan a Group-IB a fortalecer su aporte a la prevención mundial del ciberdelito y ampliar, de manera continua, sus capacidades de búsqueda de amenazas.
La estructura operativa descentralizada y autónoma de Group-IB le permite ofrecer servicios de asistencia integral y personalizada, con un alto nivel de conocimientos.
Identificamos y mitigamos las tácticas de los adversarios en cada región, con el fin de brindar soluciones de ciberseguridad personalizadas según los perfiles de riesgos y los requisitos de las distintas industrias, tales como la industria minorista, atención médica, juegos, servicios financieros, manufactura, servicios críticos, entre otras.
Los líderes en seguridad mundial de la empresa trabajan en sinergia con las más avanzadas tecnologías del sector para ofrecer funciones de detección y respuesta que eliminen las interrupciones cibernéticas de inmediato.
La Unified Risk Platform (URP) de Group-IB refuerza su convicción de crear un entorno cibernético seguro y confiable mediante el uso de tecnología basada en inteligencia y conocimientos flexibles que permitan detectar y defenderse contra todo tipo de delito digital.
La plataforma protege, de manera proactiva, la infraestructura crítica de las organizaciones ante los ataques sofisticados, a la vez que analiza constantemente posibles comportamientos peligrosos en toda la red.
El paquete integral incluye la solución de Threat Intelligence más confiable del mundo, la más completa Fraud Protection, AI-powered Digital Risk Protection, protección multicapa con Managed Extended Detection and Response (XDR), All-infrastructure Business Email Protection y External Attack Surface Management.
Asimismo, la respuesta ante incidentes e investigación de ciclo completo de Group-IB han elevado los estándares de la industria de manera constante, sobre la base de más de 70.000 respuestas ante incidentes de ciberseguridad a cargo de nuestro Laboratorio DFIR líder del sector, el Departamento de Investigaciones de Delitos de Alta Tecnología y el equipo CERT-GIB con atención las 24 horas.
En reiteradas ocasiones, sus soluciones y servicios han sido venerados por importantes organismos de consultores y analistas como Aite Novarica, Forrester, Frost & Sullivan, KuppingerCole Analysts AG, entre otros.
Como socio activo en investigaciones mundiales, Group-IB colabora con organismos policiales internacionales, como INTERPOL y EUROPOL, para crear un ciberespacio más seguro.
Group-IB también es miembro del Grupo Asesor sobre Seguridad de Internet del Centro Europeo de Ciberdelincuencia (EC3), creado para fomentar una cooperación más estrecha entre Europol y sus principales socios que no se dedican a velar por el cumplimiento de la ley.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
NO TE PIERDAS EL ÚLTIMO IT CONNECT SECURE STREAM
Lea más sobre Ciberseguridad en;
La Correspondencia de Hermes aplicada a la ciberseguridad 2024
Cisco Networking 2024: nuevas capacidades de seguridad e IA
Operación Cronos: el mayor golpe al cibercrimen de 2024
Troyano iOS roba tu cara: en 2024 vuelve la fiebre del oro
Coyote: más de 60 bancos ya lo padecieron
Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-T ec Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, h Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24,
Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-TecHi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, h Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24, Hi-Tech Crime Trends 23/24,