El grupo, denominado ResumeLooters por la unidad de Inteligencia de Amenazas de Group-IB, ha ejecutado una serie de ataques exitosos durante el período comprendido entre noviembre y diciembre de 2023.
Estos ataques perpetrados por ResumeLooters han afectado al menos 65 sitios web, marcando un aumento significativo en la actividad delictiva en línea durante ese lapso de tiempo.
La metodología empleada por ResumeLooters para comprometer estos sitios web involucra dos técnicas principales: inyección SQL y Cross-Site Scripting (XSS).
Estas son tácticas bien conocidas y ampliamente utilizadas por ciberdelincuentes para explotar vulnerabilidades en aplicaciones web y obtener acceso no autorizado a sistemas de información.
La inyección SQL implica la inserción de código malicioso en las consultas SQL que interactúan con la base de datos subyacente de un sitio web. A través de esta técnica, los atacantes pueden manipular la base de datos y extraer información confidencial o incluso realizar cambios en el contenido del sitio.
Por otro lado, el Cross-Site Scripting (XSS) permite a los atacantes inyectar scripts maliciosos en páginas web vistas por otros usuarios. Esto puede conducir a la ejecución de código no autorizado en el navegador de la víctima, lo que potencialmente permite el robo de credenciales de usuario, sesiones de phishing u otras actividades maliciosas.
La combinación de estas dos técnicas en los ataques llevados a cabo por ResumeLooters subraya la sofisticación y la determinación del grupo en su búsqueda de obtener ganancias ilícitas a través de actividades cibernéticas. La identificación y mitigación de estas amenazas requieren una respuesta coordinada y diligente por parte de las organizaciones afectadas, así como una mayor conciencia y medidas de seguridad por parte de la comunidad en línea en general.
Group-IB, una destacada empresa especializada en tecnologías de ciberseguridad, ha llevado a cabo un análisis exhaustivo que ha revelado una campaña maliciosa de gran envergadura dirigida específicamente a sitios web de búsqueda de empleo y venta al por menor en la región de Asia-Pacífico.
Esta campaña, meticulosamente diseñada por ciberdelincuentes, ha generado una preocupación significativa en la comunidad de seguridad cibernética debido a su alcance y sofisticación.
A través de métodos avanzados de infiltración y explotación, los atacantes han logrado comprometer una cantidad considerable de sitios web, causando estragos en la confianza y la seguridad de las plataformas afectadas.
Lo que es particularmente alarmante es la concentración de víctimas en países clave de la región de Asia-Pacífico, incluidos India, Taiwán, Tailandia, Vietnam, China y Australia.
Esta distribución geográfica sugiere una estrategia deliberada por parte de los ciberdelincuentes para maximizar el impacto de sus actividades delictivas en áreas específicas donde las defensas cibernéticas pueden ser menos robustas o donde existe una mayor concentración de usuarios vulnerables.
Además del impacto directo en las organizaciones afectadas, esta campaña también plantea preocupaciones más amplias sobre la seguridad y la protección de datos personales en línea, así como sobre la integridad de las plataformas digitales utilizadas por millones de personas en toda la región.
En respuesta a esta amenaza, se requiere una acción concertada tanto a nivel gubernamental como privado para fortalecer las defensas cibernéticas, aumentar la conciencia sobre las tácticas utilizadas por los ciberdelincuentes y garantizar la colaboración efectiva entre las partes interesadas para contrarrestar esta y futuras campañas maliciosas.
La ciberseguridad se ha convertido en una prioridad crítica en el mundo digital actual, y es fundamental adoptar medidas proactivas para proteger la infraestructura digital y salvaguardar la confianza en línea.
La gravedad de la situación se profundiza con la confirmación de que ResumeLooters ha perpetrado el robo de varias bases de datos, que contienen una cantidad significativa de información personal y confidencial. Entre los datos sustraídos se encuentran 2,079,027 direcciones de correo electrónico únicas, acompañadas de otros registros sensibles, tales como nombres, números de teléfono, fechas de nacimiento, así como detalles relacionados con la experiencia laboral e historial de empleo de los buscadores de empleo.
El impacto de esta violación de datos es potencialmente devastador, ya que expone a una gran cantidad de individuos a riesgos de seguridad y privacidad. La información obtenida por ResumeLooters proporciona a los ciberdelincuentes una valiosa mercancía para la realización de actividades maliciosas, como el phishing, el fraude de identidad y el robo de información financiera.
Además, la posterior oferta de estos datos robados para su venta en canales de Telegram subraya la naturaleza lucrativa y organizada de las operaciones de ResumeLooters. Esta práctica pone de relieve la necesidad urgente de una respuesta coordinada por parte de las autoridades y las organizaciones pertinentes para mitigar el daño causado y prevenir futuros incidentes similares.
La protección de la privacidad y la seguridad de los datos personales debe ser una prioridad tanto para las empresas como para los individuos en la era digital. La revelación de esta violación de datos subraya la importancia de implementar medidas sólidas de seguridad cibernética, así como de educar a los usuarios sobre las mejores prácticas para proteger su información personal en línea.
Group-IB ha tomado medidas proactivas emitiendo notificaciones a las víctimas identificadas, con el fin de que puedan tomar las medidas necesarias para mitigar un mayor daño y proteger su información personal.
Desde principios de 2023, ResumeLooters ha estado llevando a cabo operaciones utilizando varios marcos de pruebas de penetración y herramientas de código abierto, entre las que se incluyen sqlmap, Acunetix, Beef Framework, X-Ray, Metasploit, ARL y Dirsearch.
Esta sofisticada infraestructura tecnológica ha permitido a la pandilla ejecutar ataques dirigidos con precisión contra una amplia gama de sitios web, incluyendo plataformas de búsqueda de empleo, comercio minorista y otros.
Como resultado de estas operaciones, ResumeLooters logró inyectar consultas SQL maliciosas en un total de 65 sitios web, comprometiendo su seguridad y comprometiendo la integridad de los datos almacenados en ellos.
En total, se recuperaron 2,188,444 filas de información, de las cuales 510,259 correspondían a datos de usuarios de sitios web de empleo.
Esta revelación subraya la sofisticación y la gravedad de las actividades delictivas llevadas a cabo por ResumeLooters, así como la importancia de la vigilancia y la acción proactiva por parte de las autoridades y las empresas afectadas para contrarrestar estas amenazas en constante evolución.
La cooperación entre los sectores público y privado es fundamental para mitigar los riesgos asociados con el cibercrimen y proteger la seguridad y la privacidad en línea.
La distribución geográfica de las víctimas conocidas de ResumeLooters destaca la marcada concentración de ataques en la región de Asia-Pacífico, donde más del 70% de las víctimas se encuentran ubicadas. India encabeza la lista con 12 víctimas, seguida de cerca por Taiwán con 10, Tailandia con 9, Vietnam con 7, China con 3, Australia con 2, y Filipinas, Corea del Sur y Japón con 1 cada uno.
Sin embargo, es importante destacar que ResumeLooters no limita sus operaciones únicamente a la región de Asia-Pacífico. Se han identificado sitios web comprometidos fuera de APAC, lo que indica la naturaleza global de las actividades delictivas del grupo. Entre los países afectados se incluyen Brasil, Estados Unidos, Turquía, Rusia, México e Italia, lo que subraya la amplitud y la escala internacional de las operaciones de ResumeLooters.
Esta expansión geográfica pone de manifiesto la necesidad de una respuesta global coordinada para abordar la amenaza planteada por grupos de cibercriminales como ResumeLooters. La cooperación entre países y sectores industriales es esencial para combatir eficazmente el cibercrimen y proteger los activos digitales y la privacidad de los usuarios en todo el mundo.
Los investigadores de Group-IB han logrado identificar dos cuentas de Telegram vinculadas al actor de amenazas conocido como ResumeLooters. Estas cuentas se han utilizado activamente para ofrecer los datos robados a la venta en grupos de Telegram que operan en el ámbito de habla china, y que están dedicados específicamente a temas de piratería y pruebas de penetración.
La elección de utilizar plataformas de mensajería como Telegram para la venta de datos robados resalta la naturaleza clandestina y organizada de las actividades delictivas de ResumeLooters. Al aprovechar grupos de Telegram especializados en actividades ilegales, los ciberdelincuentes pueden llegar a un público específico interesado en adquirir información confidencial y comprometida.
La identificación de estas cuentas de Telegram proporciona a los investigadores una oportunidad invaluable para rastrear y monitorear las actividades del grupo delictivo, así como para coordinar acciones de aplicación de la ley y de seguridad cibernética destinadas a desmantelar sus operaciones y prevenir futuros incidentes.
El uso de plataformas de mensajería en línea para el comercio de datos robados subraya la necesidad continua de fortalecer la seguridad en línea y la protección de la privacidad de los usuarios. La colaboración entre los sectores público y privado es fundamental para abordar eficazmente las amenazas cibernéticas y salvaguardar la integridad de la infraestructura digital en todo el mundo.
“Nikita Rostovcev, Analista Senior del Equipo de Investigación de Amenazas Persistentes Avanzadas de Group-IB, señala: “En menos de dos meses, hemos identificado otro actor de amenazas que lleva a cabo ataques de inyección SQL contra empresas en la región de Asia-Pacífico”. Es sorprendente ver cómo algunos de los ataques SQL más antiguos pero notablemente efectivos siguen siendo prevalentes en la región”.
Rostovcev continúa explicando que “destaca la tenacidad del grupo ResumeLooters, ya que experimentan con diversos métodos de explotación de vulnerabilidades, incluidos los ataques XSS. Además, los ataques de la pandilla abarcan un vasto área geográfica”.
Estas declaraciones refuerzan la idea de que la ciberseguridad sigue siendo un desafío crítico en la región de Asia-Pacífico, donde los ciberdelincuentes continúan aprovechando tácticas conocidas pero efectivas para comprometer la seguridad de las empresas. La capacidad de adaptación y expansión geográfica de grupos como ResumeLooters subraya la importancia de una vigilancia constante y una respuesta ágil por parte de las organizaciones y las autoridades competentes para hacer frente a las amenazas cibernéticas en evolución.
El incremento significativo en el interés de los actores de amenazas en la región de Asia-Pacífico constituye un motivo de preocupación que requiere una atención minuciosa y una respuesta eficaz por parte de la comunidad de seguridad cibernética. En diciembre de 2023, Group-IB emitió un informe detallando las actividades del grupo GambleForce, el cual llevó a cabo más de 20 ataques de inyección SQL dirigidos a sitios web de juegos y entidades gubernamentales en dicha región.
A diferencia del enfoque exclusivo en ataques de inyección SQL por parte de GambleForce, el grupo ResumeLooters ha demostrado un modus operandi más diversificado y sofisticado. Además de los ataques de inyección SQL, han exhibido la capacidad de ejecutar con éxito scripts XSS en al menos cuatro sitios web legítimos de búsqueda de empleo.
Uno de los ataques más destacados perpetrados por ResumeLooters involucró la implantación de un script malicioso mediante la creación de un perfil falso de empleador en uno de estos sitios web. Como consecuencia de esta táctica, los atacantes lograron extraer el código HTML de las páginas visitadas por las víctimas, incluidas aquellas con acceso administrativo.
Estos incidentes ilustran claramente la evolución constante y la creciente sofisticación de las tácticas empleadas por los ciberdelincuentes en la región de Asia-Pacífico. La capacidad de grupos como ResumeLooters para adaptarse y diversificar sus métodos de ataque subraya la importancia de una vigilancia continua y una respuesta proactiva por parte de las organizaciones y las autoridades pertinentes para hacer frente a las amenazas cibernéticas en constante evolución.
Además de la ejecución de scripts XSS maliciosos en sitios web legítimos de búsqueda de empleo, se ha descubierto que estos scripts estaban diseñados para mostrar formularios de phishing, lo que apunta a un intento de los atacantes de robar credenciales de administrador. Aunque se sospechaba que el objetivo principal era el robo de estas credenciales, hasta la fecha no se han encontrado pruebas de un robo exitoso de credenciales administrativas.
Para protegerse contra ataques de inyección como los llevados a cabo por ResumeLooters, se recomienda encarecidamente a las empresas adoptar prácticas de seguridad cibernética sólidas.
Entre las medidas recomendadas para protegerse contra ataques de inyección SQL, se incluye el uso de declaraciones parametrizadas o preparadas en lugar de concatenar directamente la entrada del usuario en consultas SQL. Este enfoque, ampliamente reconocido en la comunidad de seguridad cibernética, ayuda a prevenir la inyección de código malicioso en las consultas SQL, reduciendo así significativamente el riesgo de compromiso de datos.
Las declaraciones parametrizadas o preparadas separan los datos proporcionados por el usuario de la estructura de la consulta SQL, lo que impide que los atacantes inserten código malicioso en las consultas y, por lo tanto, evitan que se ejecute código no deseado en la base de datos.
Al utilizar esta técnica, los parámetros proporcionados por el usuario se tratan como datos, no como instrucciones SQL, lo que garantiza que no puedan alterar la lógica de la consulta.
Este enfoque es altamente efectivo para prevenir la mayoría de los ataques de inyección SQL y es una práctica recomendada en el desarrollo de aplicaciones web seguras.
Al implementar declaraciones parametrizadas o preparadas, las organizaciones pueden reducir significativamente la superficie de ataque y fortalecer la seguridad de sus sistemas contra una de las vulnerabilidades más comunes y peligrosas en el ámbito de la seguridad cibernética.
Además, es fundamental implementar una validación y saneamiento exhaustivos de la entrada tanto en el lado del cliente como en el servidor.
Esto implica verificar y limpiar cualquier entrada de usuario antes de procesarla, lo que ayuda a prevenir la ejecución de scripts maliciosos y otros ataques de inyección.
Realizar evaluaciones de seguridad regulares y revisiones de código también desempeña un papel crucial en la protección contra vulnerabilidades de inyección y otros riesgos de seguridad cibernética.
Identificar y mitigar estas vulnerabilidades de manera proactiva ayuda a fortalecer las defensas cibernéticas de una organización y a prevenir posibles brechas de seguridad.
La implementación de prácticas de seguridad cibernética sólidas, incluido el uso de declaraciones parametrizadas, la validación y el saneamiento exhaustivos de la entrada de usuario, así como las evaluaciones de seguridad regulares, son pasos críticos para protegerse contra ataques de inyección y garantizar la seguridad de los datos en línea.
El examen exhaustivo de la infraestructura maliciosa, las herramientas y tácticas utilizadas por ResumeLooters, junto con una lista completa de indicadores de compromiso (IOC, por sus siglas en inglés), está disponible en la última publicación de blog de Group-IB.
Esta publicación proporciona una visión detallada de la metodología de ataque empleada por ResumeLooters, así como información valiosa para ayudar a las organizaciones a identificar y mitigar posibles amenazas en sus sistemas.
El acceso a esta información es vital para fortalecer las defensas cibernéticas y protegerse contra futuros ataques.
La transparencia y la divulgación de los IOC permiten una mejor colaboración entre las organizaciones, los investigadores de seguridad y las autoridades competentes, lo que contribuye a una respuesta más efectiva frente a las amenazas cibernéticas.
La publicación de blog de Group-IB sirve como un recurso invaluable para la comunidad de seguridad cibernética, brindando información actualizada sobre las últimas tendencias y tácticas utilizadas por los actores de amenazas, y ofreciendo orientación práctica sobre cómo protegerse contra estas amenazas en constante evolución.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre ciberseguridad en;
Cloudbrink: Aumento de Rendimiento de 30 Veces para el Acceso Remoto Seguro
Día Internacional del Cambio de Contraseña 1/2/2024
PCI DSS 4.0: muchas billeteras van a desaparecer en el aire, el 1/04/2024
Automatización: la herramienta 2024 para la defensa en profundidad
SASE llega a la mediana empresa para fortalecer la seguridad 2024
ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeLooters, ResumeL
NO TE PIERDAS EL ÚLTIMO IT CONNECT SECURE STREAM
https://youtu.be/F8NrFbQ1GKw
ooters, ResumeLooters, ResumeLooters, ResumeLooters,