Embed Size (px)
Citation preview
1www.intsights.com
El Lado Oscuro de América Latina:Criptomonedas, Cárteles, Carding, y el Ascenso del Cibercrimen
El Lado Oscuro de América Latina
Resumen EjecutivoAmérica Latina exhibe algunos de los grupos de hackers y de crimen organizado más sofisticados del mundo, pero a menudo pasan desapercibidos frente a los grupos de seguridad empresarial que no tienen presencia en la región. En 2019, el equipo de investigación de IntSights inició una indagación en campañas persistentes de phishing que se dan contra clientes en los sectores de comercio y servicios financieros en Colombia y Brasil. Los hallazgos fueron desconcertantes. Criminales cibernéticos muy persistentes estaban operando programas muy extensos en contra de bancos, servicios de hotelería, y negocios de comercio minorista para obtener sus credenciales y sus activos financieros. No fue difícil determinar de dónde venía el peligro debido a que los perpetradores pasaban más tiempo cambiando sus tácticas e infraestructura que escondiendo sus identidades.
Para uno de los casos, el equipo de investigación de IntSights fue capaz de identificar la ubicación de un perpetrador en Colombia, sus páginas en redes sociales, sus nombres de avatar, y sus métodos de phishing. Tras indagar de forma más profunda acerca de la vida de este perpetrador, se descubrió un panorama de amenazas más complejo; un escape de la pobreza y del régimen de censura en Venezuela, seguido de una mudanza más allá de la frontera hacia Colombia, donde iniciaría su carrera como criminal cibernético. El descubrimiento llevó a los investigadores a indagar más en un reporte acerca de la destrucción política y económica en Venezuela y las fuerzas que llevan a personas comunes a la clandestinidad para obtener un salario de parte del crimen cibernético.
El Lado Oscuro de América Latina es una exploración del panorama de amenazas en toda la región, definido por dinámica geopolítica, corrupción estatal, crimen organizado, y ataques persistentes sobre industrias como los servicios de comercio minorista, finanzas, y hotelería a nivel global.
MetodologíaLa Inteligencia Táctica de este reporte se deriva de varias fuentes propias parte de nuestra plataforma ThreatCommand™, entre ellas:
• Bases de datos de acceso restringido• Cientos de fuentes clandestinas (deep web y dark web)• Miles de sitios de acceso libre a través de varias herramientas de
búsqueda• Búsquedas manuales y automáticas en cientos de conversaciones de
plataformas de mensajería y foros grupales que se usan exclusivamente por hackers y criminales cibernéticos.
Además, el equipo de investigadores expertos y analistas de inteligencia de IntSights contribuyen inteligencia operacional y estratégica para permitir a nuestros usuarios la toma de decisiones importantes y la formación de estrategias para defenderse contra amenazas provenientes de América Latina.
IntSights se enorgullece de haberse aliado con los expertos en ciberseguridad regional CipherTrace y Scitum . Nuestras experiencias combinadas asesorando a empresas latinoamericanas en materia de respuesta a incidentes de seguridad, seguridad de información, e inteligencia, hace que este reporte sea el único en su área en abordar varios aspectos del comportamiento criminal, su efecto en las empresas a nivel mundial, y los métodos prácticos para proteger a organizaciones ante estas amenazas.
Algunas identidades han sido modificadas para mantener el anonimato en investigaciones en encubierto.
2
El Lado Oscuro de América Latina
Panorama de AmenazasEl área que se conoce como América Latina incluye México, Centroamérica, y Sudamérica. La diversidad en la región se halaga mundialmente como un punto de encuentro de culturas, idiomas, panoramas geográficos, economías, y gobiernos. Sin embargo, si bien la región tiene muchos componentes culturales universales, las naciones específicas enfrentan éxitos y retos únicos definidos por sus escenarios políticos propios, dictaduras y democracias, la diversidad económica, y el crecimiento agudo de la adopción de tecnologías digitales. 2019 fue un año financiero difícil para toda América Latina ya que el crecimiento económico estuvo casi detenido.
El 30 de octubre de 2019, el Fondo Monetario Internacional (IMF, por sus siglas en inglés) publicó su Informe de Perspectivas de la Economía mundial , que resaltó una desmejora significativa en el estatus económico de toda la región latinoamericana, haciendo énfasis en las dificultades importantes de Venezuela como resultado de una hiperinflación y una crisis humanitaria. El IMF atribuye esta desmejora principalmente a factores sociales, incluyendo la devaluación de la confianza del consumidor a nivel mundial, la incertidumbre política y económica, y el rol de Venezuela como catalizador de una inestabilidad en la región.
Dificultades económicas, corrupción política, censura en internet, y el ascenso del crimen organizado en América Latina son los factores que contribuyen al crecimiento del crimen cibernético. Las compañías dentro y fuera de la región están luchando para mantenerse al día contra perpetradores que tienen motivaciones financieras y son coordinados y persistentes en sus esfuerzos para estafar, forjar, y robar activos de consumidores y de empresas.
La rápida digitalización y la adopción generalizada de tecnologías digitales hacen que América Latina sea un blanco fácil para el crimen cibernético. En 2019, se registraron millones de usuarios en internet en América Latina5 – alrededor del 69% de la población total, con usuarios de Brasil y Colombia representando la gran mayoría. Una encuesta global del tiempo que pasan los usuarios en internet coloca a Brasil y Colombia en los puestos segundo y cuarto, respectivamente . En 2018, las ventas al por menor online sobrepasaron los $50 mil millones, y el gigante de la región, MercadoLibre, fue la tienda más popular en América Latina. Otras tiendas grandes en la región son Amazon, B2W Digital, y Alibaba.
Al igual que con la mayoría de los países y regiones que experimentan la combinación de la digitalización rápida, altas tasas de uso de internet, y numerosas dificultades políticas, la legislación de la privacidad de datos es aun muy prematura. Brasil lidera en este ámbito, ya con formulación de más de 40 regulaciones diferentes de privacidad de datos. Ese país se encuentra consolidando estas regulaciones en una política global llamada Lei Geral de Proteção de Dados (LGPD), que se espera sea implementada en agosto del 2020.7 Esta ley será similar al GRPR de Europa, y se enfocará en responsabilizar a las compañías por los datos de sus clientes. El no cumplimiento podría resultar una multa del 2% de las ventas anuales, lo cual sería completamente agobiante para tiendas y bancos que ya estén teniendo problemas al luchar contra el fraude y el crimen cibernético. Las leyes de privacidad de datos ayudarán a optimizar las expectativas de protección de la información de clientes y empleados en toda la región, pero podrían representar dificultades económicas para empresas en problemas al inicio de la implementación.
Los perpetradores en América Latina son diferentes a los de otras regiones del mundo. A diferencia de algunos de los gobiernos y ejércitos más grandes del mundo, América Latina no exhibe grupos de Amenaza Persistente Avanzada (APT, por sus siglas en inglés) patrocinados por estados. Mientras que Rusia, Estados Unidos, China, Corea del Norte, e Irán han desarrollado poderes militares y han establecido equipos de hackers de sombrero negro, las áreas en vía de desarrollo de América Latina han enfocado sus esfuerzos en la estabilidad, el crecimiento económico, la defensa nacional, y la lucha contra el crimen organizado. La combinación de estos factores ha creado un ambiente fácil para hackers motivados por dinero, estafadores persistentes, e incluso carteles de drogas que trabajan con criminales cibernéticos.
3
El Lado Oscuro de América Latina
Finanza de Amenazas (Threat Finance): El Catalizador del Crimen Cibernético La finanza de amenazas está evolucionando en América Latina a medida que los grupos de crimen organizado se enfocan en las criptomonedas para lavar grandes cantidades de dinero y para entrar a la dark web donde pueden encontrar hackers por encargo. Los países latinoamericanos están de primeros en la lista de los peores países en lavado de dinero . El flujo constante de dinero en la comunidad de crimen organizado se cuela hacia los mercados de la dark web y hacia el ámbito de crimen cibernético. Los grupos de crimen organizados y los carteles de drogas en América Latina están aprovechando los avances tecnológicos en banca digital y en transferencias de dinero. En abril de 2019, agentes del Departamento de Investigaciones sobre Narcóticos de Brasil (Departamento de Investigações sobre Narcóticos – DENARC) arrestaron a un criminal que estaba operando una mina de criptomonedas en Porto Alegre. Los agentes incautaron unas 25 máquinas de minado de criptomonedas, que operaban 24 horas al día y estaban valoradas cada una en aproximadamente US$ 65.000.
Hay varias formas en las que los perpetradores están realizando estas operaciones. CipherTrace, el primer equipo de criminalística de blockchain, nos comparte su perspectiva:
Mixing Service “Mixer”, “Tumbler”, “Fogger” : Un tambor o mezclador de criptomonedas es un servicio que ofrece mezclar fondos en criptomoneda que sean potencialmente identificables o estén “adulterados” con otros. La intención es complicar el rastro hacia la fuente original de los fondos y hacia su ubicación para efectos de intercambios posibles o de otras entidades asociadas a las criptomonedas. Esta operación incluye la transferencia de fondos entre carteras legales web de criptomonedas (wallets) y carteras de la dark web. Cada transferencia, conocida como salto (“hop”, en inglés), crea una capa adicional de confusión. Desde la cuenta alojada en la dark web, los fondos son separados en intervalos aleatorios hacia direcciones cripto alojadas en TOR para que las transacciones no puedan ser fácilmente relacionadas entre sí. Una vez que se completa la mezcla, los perpetradores depositan las monedas recién lavadas en un intercambio de criptomonedas para ser cambiadas por otras. Las personas que realizan esta mezcla normalmente cobran una tarifa por transacción equivalente al porcentaje del total de monedas mezcladas para poder sostener el negocio, usualmente entre 1 y 3 por ciento.
Lavado a través de Intercambios No Regulados:La mayoría de los intercambios “legales” con criptomonedas deben seguir políticas de “conozca a su cliente” (KYC, por sus siglas en inglés) y anti-lavado de dinero (AML, por sus siglas en inglés). Estos intercambios son más confiables, en general. Sin embargo, al igual que con cualquier nueva labor financiera, los criminales están aprovechando los intercambios no regulados que no requieren información de registro ni prueba de identificación para propósitos de rastreo. El método en este caso es similar al de los mezcladores, donde el perpetrador deposita Bitcoin a la cuenta del intercambio y lo cambia por varias monedas distintas a Bitcoin, conocidas como Altcoins Cada vez que se realiza un intercambio, se aleja más y más ese pago original de su cuenta origen. La privacidad y el anonimato de este proceso depende principalmente de las capacidades de monitoreo del intercambio. Los investigadores estiman que, luego de que se han lavado criptomonedas mediante estos intercambios, el 97% terminan en países donde hay regulaciones KYC/AML muy débiles, siendo los países latinoamericanos los principales en estas listas.
Intercambio Peer-to-Peer por Bienes y ServiciosCantidades masivas de dinero están fluyendo por los distintos grupos grandes de crimen organizado. A pesar de los numerosos otros métodos utilizados para lavar y mezclar el dinero, algunas personas aún acuden a redes confiadas o a intercambios ilegales peer-to-peer (P2P) para lavar sus criptomonedas. Aunque este método no es nuevo, está evolucionando con la introducción de las criptomonedas en el mundo clandestino de los criminales, y está siendo respaldada por la corrupción política generalizada de muchos países.
Fuente: gauchazh magazine
4
El Lado Oscuro de América Latina
En 2014, nueve personas fueron arrestadas en redadas dirigidas a 75 ubicaciones distintas, incluyendo Los Ángeles. El Buró Federal de Investigaciones (FBI) incautó $90 millones, principalmente en efectivo, como parte de un escándalo de lavado de dinero del Cártel de Sinaloa de México. Durante ese tiempo, Los Ángeles se había convertido en el epicentro de intercambios de dinero para este cártel, ya que estaban intentando evitar transferencias de grandes sumas de dinero. El modus operandi era el siguiente: el Cártel de Sinaloa secuestraba a una persona y la tenia de rehén. Los familiares de esa persona estaban en Los Ángeles y tenían que pagar $140.000 pesos al cártel. El cártel les informaba que tenían que llevar el dinero a una tienda de ropa en Los Ángeles, que a su vez utilizaba el dinero para pagar el cargamento de ropa que recibirían de México. Al momento de recibirlos, el importador pagaba los $140.000 pesos al Cártel de Sinaloa . Esta clase de actividades se vuelven ahora más generalizadas desde que se introdujeron las monedas digitales, y a raíz de esto, las pandillas criminales están creciendo y expandiendo sus operaciones.
En octubre de 2019, un oficial del operador de pagos panameño Crypto Capital fue arrestado como parte de una indagación de Polonia por haber, presuntamente, lavado las ganancias de ventas de narcotráfico a nombre de un grupo criminar internacional.13 Ivan Manuel Molina Lee fue arrestado en Grecia y extraditado a Polonia. El Ministerio de Justicia de Polonia incautó $350 millones de un banco polaco, afirmando que dichos fondos se relacionaban directamente con el lavado de dinero que Molina Lee realizó para cárteles de droga colombianos utilizando criptomonedas.
Si bien existen múltiples intercambios de criptomonedas disponibles para clientes latinoamericanos, las plataformas P2P son usualmente el método preferido de monedas fiat (o dinero por decreto) desde o hacia intercambios de criptomoneda en la región. Durante el 2019 y también hacia el 2020, la conocida plataforma P2P LocalBitcoins registró crecimiento récord en el volumen de transacciones a lo largo de varios países latinoamericanos. También observaron un crecimiento pronunciado en el volumen de transacciones otras plataformas P2P como Paxful y CCoins. Los intercambios P2P usualmente no tienen programas AML y colocan poca o nada de atención a KYC, lo cual permite a los perpetradores criminales usar P2P en lugar de los intercambios típicos de criptomonedas. El siguiente gráfico muestra el crecimiento rápido en el uso de LocalBitcoins en varios países latinoamericanos.
Imagen: LA Times
Argentina Chile
5
El Lado Oscuro de América Latina
Colombia Venezuela
Muy pocos países de América Latina han establecido leyes para enfrentar al lavado de dinero, y los países que sí las tienen no las están haciendo cumplir efectivamente. Según estudios hechos por el Basel Institute on Governance, expertos en AML, Colombia encabeza la lista de los cinco peores puntajes de AML . Los expertos creen que esto no se debe a una degradación reciente de las políticas sino a histórica dificultad para hacer cumplir leyes. Expertos del Basel Institute también nombran a la corrupción y los sobornos como un delito predicado al lavado de dinero, y Venezuela tuvo los peores números de 2019 en corrupción y soborno. El informe Venezuela Threat Brief15 de IntSights cubre más de los problemas geopolíticos de ese país que contribuyen a esta situación de corrupción.
Amenazas Emergentes Los Hackers Se Unen con los CártelesEl matrimonio entre bandas violentas de drogas y la comunidad clandestina de hackers es una amenaza emergente significativa al inicio de 2020. Los dos mundos están combinando su influencia, habilidades, y experiencia para lograr propósitos comunes, principalmente del tipo financiero.
En 2019, una pandilla criminal llamada “Bandidos Revolution Team” y su líder, Héctor Ortiz Solares – también conocido como “El H-1” o “Bandido Boss” – fueron arrestados por fuerzas policiales en León, México. Solares era conocido por reclutar a hackers muy habilidosos que podían escribir código malware para infectar bancos y cajeros automáticos. Sus hackers escribieron un malware que extrae dinero de los bancos utilizando el Sistema de Pagos Electrónicos Interbancarios (SPEI) y luego lo deposita en cuentas de terceros. Una vez que se deposita el dinero, la pandilla retira el efectivo y hace compras grandes, como propiedades o carros de lujo.
Las autoridades informaron que Solares estaba ganando entre 50 y 100 millones de pesos cada mes (entre $2,6 y $5,2 millones). En 2018, el gobernador del banco central de México reportó que la pandilla había realizado un ataque cibernético que costó a cinco instituciones financieras 300 millones de pesos (USD$15,2 millones) representados en transferencias fraudulentas.
El 16 de mayo de 2019, la Fiscalía General de la República anunció en Twitter que habían inspeccionado 11 casas e incautado 27 carros de lujo, drogas, armas de fuego, equipos de cómputo, y teléfonos de estas casas de seguridad de este infame cártel cibernético. Uno de los carros confiscados era un Aston Martin de USD$30 millones, el cual llamaba la atención y admiración de hackers de todo el mundo que querían recibir una porción de estas ganancias.
La cuenta en Twitter de la Fiscalía General de la República de México mostrando los carros de lujo confiscados en una redada.
6
El Lado Oscuro de América Latina
Este es un ejemplo de un problema mucho más grande que atormenta a las fuerzas de la ley en México y en países aledaños a medida que la digitalización y el acceso a la dark web permiten a los grupos de crimen organizado contratar hackers para realizar trabajos de gran escala.
Campañas de Phishing de la Próxima GeneraciónA mediados de 2019, los analistas de IntSight descubrieron una campaña masiva de phishing que estaba siendo iniciada contra varios bancos grandes en América Latina y en Norteamérica, incluyendo un consumidor. El perpetrador de la amenaza había creado varios sitios web que asemejaban los sitios oficiales del banco. IntSights emitió avisos de revoque a los registradores de dominios. El perpetrador fue persistente y se mudó a nuevos registradores y nuevas infraestructuras. Los investigadores de IntSights indagaron más sobre los registros y chatters del dominio de estos URL. Ellos descubrieron que los clientes estaban siendo dirigidos hacia los sitios de phishing a través de AdWords falsas en Google y Bing. Estos anuncios falsos aparecen como vínculos en la parte superior de la página cuando la víctima realiza una búsqueda. Una vez que la persona da clic al vínculo, abre un sitio de phishing que es aparentemente idéntico al sitio real del banco.
La víctima coloca sus credenciales que usa para entrar a la banca digital. La página le redirige a una segunda página, la cual le pide a la víctima que dé información personal. Esta información personal sirve para responder procesos de autenticación de dos factores (two-factor authentication) y para recolectar información sensible, tal como dirección actual e información de contacto. En un foro de la dark web, el perpetrador indicó a otros que leyeran acerca de la técnica en un artículo de noticias. Este tipo de popularidad ayuda al individuo a crear una reputación en la comunidad clandestina.
El sentimiento general ante este perpetrador en los foros es positivo. Varias personas le han contactado para preguntarle su información de mensajería y manifestarle su deseo de hablar con él acerca de este método y de cómo realizarlo. El perpetrador también ha revelado, a lo largo de varias interacciones en chats privados, que tiene hackers que trabajan para él creando estos kits de phishing.
Esto nos lleva a creer que este tipo de campaña phishing no está limitada a un individuo, sino que más bien involucra a muchos hackers que usan el mismo método. En este caso, permitiría a la comunidad de hackers crear múltiples dominios y sitios de phishing. Esto explicaría la afluencia de registros de dominio y de sitios phishing sospechosos que han estado afectando a estos bancos y sus clientes.
“Compras” Carding y Amenazas InternasEl carding es el uso de tarjetas de crédito robadas para realizar compras fraudulentas. Esta práctica es común en la comunidad de crimen cibernético latinoamericana, y los perpetradores han ganado millones de dólares. Esta práctica se conoce en otros idiomas como “compras”, o “shopping” en Brasil.
Figura : Tutorial en YouTube acerca de cómo perpetrar un ataque phishing
Figura : Sitio Wix del perpetrador, haciendo publicidad de sus métodos
Figura : Publicación del perpetrador en darknetcave.net con promoción de sus tutoriales 7
El Lado Oscuro de América Latina
Hay cientos de mercados hoy en día que están en la web superficial, la deep web, y la dark weeb, que ofrecen servicios al público en general. Los criminales utilizan tarjetas de crédito robadas para pagar facturas, comprar boletos de avión, reservar hoteles, y comprar bienes y servicios. El proceso funciona así:1. Los criminales hacen promoción de un servicio que paga una
factura de un cliente con un precio descontado (por ejemplo, pagar $50 por una factura de servicios públicos que vale $100).
2. El cliente deposita el dinero en la cuenta bancaria del criminal. Esto usualmente se realiza en tiendas de conveniencia, recaudadores de pagos, o tiendas de mercado.
3. Los criminales inmediatamente utilizan tarjetas de crédito robadas para pagar la factura de parte del cliente. Se quedan el dinero recaudado.
Los criminales a menudo anuncian estos servicios en redes sociales, grupos de Facebook, aplicaciones de mensajería, y Twitter. Utilizan logos que son familiares para el cliente, como páginas populares de reservas, nombres de bancos, y compañías de servicios públicos.
Los criminales han utilizado estos métodos para reservar boletos de avión caros para sus “clientes”. Las aerolíneas han comenzado a solicitar que la tarjeta que se usó para realizar la reserva sea presentada en el mostrador al momento del check-in. Si no se presenta, el cliente debe pagar su boleto en efectivo para poder montarse al avión.
Los criminales tienen una fuente principal de números de tarjeta de crédito robados: las amenazas internas. El método más común de adquisición de tarjetas de crédito es a través de empleados que trabajan en los lugares donde se presentan dichas tarjetas. Los criminales contactan a los empleados por WhatsApp o por redes sociales, ofreciendo una comisión a cambio de información de la tarjeta de crédito de los clientes. Por ejemplo, en México, los empleados de estaciones de servicio llenan el tanque de gasolina y procesan la tarjeta de crédito. El empleado de la estación copia la información de la tarjeta y la envía a estos criminales cibernéticos para que hagan sus operaciones de carding. Comúnmente, se les paga por cumplir metas mensuales. Otros métodos para obtener información de tarjetas de crédito son a través de trabajos menores de hackeo sobre aplicaciones web y a través de la ingeniería social.
BINero FraudEl Fraude “BINero” es una táctica de fraude común en América Latina que tiene un impacto importante sobre los bancos de la región. El BIN (número de identificación del banco) es los primeros cuatro o seis números que aparecen en una tarjeta del banco. El BIN identifica el banco específico que emitió la tarjeta y es crucial para poder relacionar bancos con transacciones que se dan a nivel mundial. El fraude BIN - o BINero - es la práctica particular de encontrar números BIN que no sean validados adecuadamente por procesadores de pago en internet, lo cual permite que ocurran transacciones fraudulentas online. Cuando el perpetrador descubre una mala configuración entre BIN y procesador de pagos, fabrica el resto de la información de la tarjeta y realiza compras fraudulentas en páginas populares, como MercadoLibre y Amazon. El Fraude BINero se discute ampliamente en fuentes hispano hablantes en la web superficial, y también en las web deep y dark. Los analistas de IntSights hacen seguimiento continuo de estas fuentes para estar al tanto de nuevas modas, perpetradores, y modus operandi asociados al fraude BINero. Algunos de los tutoriales de fraude BINero más populares incluyen foros en grupos de Telegram, grupos de WhatsApp, grupos de Facebook, y fuentes clandestinas de la dark web. Este método es exitoso y rentable, y no parece estar deteniéndose.
Un grupo privado de “compras” donde los criminales colaboran y se apoyan mutuamente sus negocios
Ejemplos de anuncios de “compras” publicadas por criminales en páginas de acceso libre
Grupos de Facebook asociados al fraude BINero
8
El Lado Oscuro de América Latina
Perpetradores en América Latina: Comunicación y ContactoLos criminales en América Latina se comunican en plataformas de acceso libre, y es común que no se esfuercen mucho en esconder sus identidades, a menos de que tengan conexiones con pandillas o cárteles. A pesar de tener acceso a los foros clandestinos, la impunidad en estos países permite que los criminales usen herramientas de acceso libre para comunicarse abiertamente con otros. WhatsApp, Facebook Messenger, y Telegram son los métodos más populares por los cuales los criminales se ponen en contacto y colaboran. En el pasado, ICQ era la herramienta de comunicación más popular para estos propósitos. Durante los últimos años, WhatsApp ha ganado popularidad como plataforma gratuita de mensajería que permite chats grupales, conferencias de video, y más.
Los analistas encubiertos de inteligencia de IntSights tienen contacto con los perpetradores en sus plataformas preferidas de comunicación – usualmente WhatsApp y Facebook Messenger. Han descubierto que los perpetradores están muy cómodos en estas plataformas porque se lo permiten sus gobiernos locales y son gratuitos. Facebook Messenger, en particular, ofrece una forma fácil de transferirse desde un grupo de Facebook hacia un chat en Messenger utilizando una sola pestaña del navegador. Facebook Messenger ofrece ahora un chat cifrado, conocido como modo “secreto”. Es fácil para los criminales utilizar esta plataforma para cambiarse de conversaciones casuales no cifradas a mensajes cifrados end-to-end para poder discutir acuerdos de negocios más clandestinos.
Malware TrendsLos troyanos bancarios y el ransomware (secuestro de datos) son las principales amenazas que afectan y surgen de la región latinoamericana. Scitum , el líder en seguridad informática en América Latina, contribuyó esta información acerca de las principales modas de malware que afectaron a sus clientes en 2019:
1. Catasia - Originado en 2014, el malware Catasia distribuía correos electrónicos haciéndose pasar por diferentes organizaciones gubernamentales de México. Los correos inicialmente contenían un documento en Word con macros que descargaban el malware en segundo plano cuando se habilitaba. El malware era capaz de acceder a la cámara y el micrófono de la víctima, permitiendo grabación de video y voz. En versiones más recientes, ha enviado también correos con archivos .zip en lugar de documentos en Word. La característica más resaltante de este malware es que el atacante actualiza su funcionalidad, comúnmente para incluir ataques de intermediario (man-in-the-middle) a navegadores. El malware Catasia ha tenido éxito al ser alojado en infraestructuras que no son maliciosas, donde también se alojan operaciones de negocios legítimas. La investigación arrojó que solo se está usando sobre objetivos mexicanos, a pesar de haber sido originado en Colombia.
2. Cosmic Banker - El troyano Cosmic Banker es un malware que ha tenido un impacto importante en los bancos latinoamericanos desde el 2018. Scitum lo detectó en 201920 cuando tuvo su distribución masiva . Una de las características más resaltantes de esta campaña es que el archivo ejecutable contenía comentarios muy específicos en el idioma portugués que también habían sido detectados en otros eventos. La campaña se enfoca en los credenciales de instituciones bancarias mexicanas. Sin embargo, el grupo detrás de Cosmic Banker también es autor de otra campaña que se enfoca en usuarios de instituciones bancarias de Brasil. Algunos de los elementos del ataque coinciden con un artefacto malicioso, bautizado por Trend Micro como Banload, el cual afectó a varios bancos en Brasil. Esto fortalece la teoría de que el grupo inició sus ataques en Sudamérica y luego reutilizó el malware desarrollado para atacar objetivos en México. Utilizar la misma variedad de malware dejó rastros comunes que apoyan la atribución de esta campaña a los atacantes brasileros. Aunque los indicadores de compromiso, tales como valores hash, direcciones IP, y dominios cambian durante cada ataque, las tácticas, técnicas, y procedimientos mostrados por el grupo cibernético cambian con menor frecuencia, en particular el uso de una transferencia de texto limpio desde un archivo comprimido, lo cual incluye las últimas herramientas del atacante.
9
El Lado Oscuro de América Latina
3. Trickbot - Trickbot es un troyano bancario que se usa en ataques cibernéticos contra pequeñas y medianas empresas (PYMES). Fue creado para acceder a cuentas online –principalmente cuentas bancarias – para obtener información de identificación personal (PII, por sus siglas en inglés) y luego usarla en fraude y robo de identidad. Al pasar el tiempo, los creadores del Trickbot han agregado módulos y expandido sus habilidades. El Trickbot se envía a través de spam malicioso que contiene documentos de Word, lo cual permite al malware el robo de credenciales y la extracción de datos sensibles y valiosos.
Trickbot ha afectado a muchas organizaciones en América Latina, pero México fue atacada más fuertemente por variantes que enviaban Emotet. Entre finales de 2018 y finales de 2019, el número de robots infectados con Emotet se disparó en Sudamérica. Los huéspedes infectados incluyen organizaciones en los sectores automotriz, de finanzas, de energía, de construcción, de comercio minorista, de entretenimiento, de logística, y de tecnología.
4. Ransomware Phobos - utilizando servicios vulnerables subcontratados para ganar acceso a la organización. Una vez El Ransomware Phobos es, por mucho, la variedad más común en el momento, ya que está presente en el 70% de los incidentes por ransomware. Los atacantes están dentro, los perpetradores extraen credenciales válidas y se mueven lateralmente hasta que llegan al servidor del Active Directory o Directorio Activo. Posteriormente, deshabilitan el firewall de Windows y a veces desinstalan soluciones EDR y antivirus, antes de distribuir el malware utilizando Directiva de Grupo (GPO, por sus siglas en inglés). No cifran la red completa, concentrándose únicamente en los servidores más críticos de la empresa al mismo tiempo que causan estragos significativos en las operaciones cotidianas.
5. Ransomware Ryuk - El Ransomware Ryuk fue especialmente efectivo en 2019 y ha atacado particularmente fuerte en América Latina. La empresa nacional de petróleo mexicana, PEMEX, cerró completamente en noviembre de 2019 debido a un incidente con el ransomware Ryuk. Ryuk es espcialmente peligroso porque fue creado para infectar un sistema y para esconderse efectivamente por un plazo de tiempo mientras el malware busca los sistemas más críticos de la red para maximizar su impacto. Numerosas otras organizaciones latinoamericanas han sufrido por infecciones de Ryuk a finales de 2019. Se cree que Ryuk es operado por el mismo grupo que gestiona el malware Trickbot, grupo bautizado como Wizard Spider, proveniente de Rusia. Ryuk tiene relación cercana con otros grupos de malware y se considera una parte de una cadena compleja de infección. Por ejemplo, un reporte22 explica que Ryuk es usualmente el último paso en un ataque que inicia con malware Emotet que envía el troyano Trickbot. El Trickbot implementa herramientas para después de la extracción, como Mimikats y Powershell, lo cual permite recolectar credenciales, manejar un sistema de forma remota, y realizar movimientos laterales dentro de la red. Este proceso permite al atacante determinar el valor de una máquina y juzgar si vale la pena implementarle Ryuk.
Carta ejemplo del ransomware Ryuk
Trend Micro
10
El Lado Oscuro de América Latina
Recomendaciones
1. Recolectar, monitorear, y analizar la inteligencia de crimen cibernético para entender y proactivamente defenderse en contra de amenazas como las que vienen de y afectan América Latina. Las empresas multinacionales y globales y las instituciones financieras necesitan tener un entendimiento a fondo del adversario y de sus tácticas, herramientas, y métodos. Un entendimiento más profundo acerca de sus motivaciones y sus situaciones de vida puede ayudar a visibilizar problemas regionales o nacionales que impulsan la proliferación de crimen cibernético en la clandestinidad.
2. Seguir las mejores prácticas en seguridad. Las campañas de phishing se están volviendo más sofisticadas, y los empleados y clientes necesitan estar educados al respecto de estas tácticas. Informe a los clientes acerca de amenazas de phishing e indíqueles cómo pueden esperar que la organización los contacte. Recomiende que escriban el nombre de su sitio web en lugar de utilizar anuncios de Google o Bing que aparentan ser dicho sitio, e indíqueles que nunca deben digitar sus credenciales o información de tarjeta de crédito en páginas sospechosas.
3. Dar prioridad al cumplimiento de regulaciones. La Industria de Tarjeta de Pago (PCI, por sus siglas en inglés) está recibiendo más ataques cada año. Si su compañía recibe pagos vía electrónica, es importante que dé prioridad a los estándares PCI-DSS para mostrar a sus clientes que pueden confiar en su organización para manejar su dinero y su información personal. Las organizaciones que operan en América Latina deben prepararse para la inminente legislación en materia de privacidad de datos.
About IntSightsIntSights is revolutionizing cybersecurity operations with the industry’s only all-in-one external threat protection platform designed to neutralize cyberattacks outside the wire. Our unique cyber reconnaissance capabilities enable continuous monitoring of an enterprise’s external digital profile across the clear, deep, and dark web to identify emerging threats and orchestrate proactive response. Tailored threat intelligence that seamlessly integrates with security infrastructure for dynamic defense has made IntSights one of the fastest-growing cybersecurity companies in the world. IntSights has offices in Amsterdam, Boston, Dallas, New York, Singapore, Tel Aviv, and Tokyo. To learn more, visit: intsights.com or connect with us on LinkedIn, Twitter, and Facebook.
To see the IntSights External Threat Protection Suite of solutions in action, schedule a demo today.
Visit: Intsights.com Call: +1 (800) 532-4671 Email: [email protected] 11
