Algunos países latinoamericanos pueden ser objetivos fáciles para los ataques de ransomware debido a la falta general de recursos cibernéticos, en particular de educación, higiene e infraestructura general, según un informe publicado hoy jueves por el Grupo Inskit de Recorded Future.
Los investigadores creen que los ataques de ransomware a organismos gubernamentales locales, provinciales o federales “pueden constituir un verdadero riesgo de seguridad nacional y geopolítica” en muchos de estos países.
En cada caso, no se pudo determinar un vector de ataque definitivo. Según los investigadores, la vía “más probable” en muchos de los incidentes fue una combinación de pares de credenciales válidas comprometidas y cookies de sesión, que son capturadas a partir de una infección exitosa y vendidas por corredores de acceso en foros de la web oscura.
Las observaciones anecdóticas de Recorded Future muestran un “pequeño” pero “continuo aumento” de las referencias a la venta de acceso preliminar y a las filtraciones de bases de datos de gobiernos latinoamericanos a partir de marzo de 2022.
“También hemos identificado un aumento significativo en el primer trimestre de 2022, a partir de febrero de 2022, de referencias a dominios propiedad de entidades gubernamentales latinoamericanas en tiendas y mercados de la web oscura como Russian Market, Genesis Store y 2easy Shop, en relación con el mismo período de tiempo de 2021”, añadieron, precisando que se necesita más investigación y análisis para determinar si el aumento de las referencias está relacionado con ataques reales de ransomware.
El informe destaca los recientes esfuerzos de alto perfil del gobierno costarricense después de que Conti, un prolífico grupo de ransomware atacara al país el 17 de abril. El grupo pedía inicialmente 10 millones de dólares, luego aumentó el rescate a 20 millones. Conti publicó comentarios instando a los costarricenses a marchar en las calles, derrocar al gobierno y exigir el pago del rescate.
Tras el ataque, el Departamento de Estado estadounidense estableció una recompensa de 10 millones de dólares por información sobre los altos cargos de Conti. Dos días después, Costa Rica hizo historia al declarar una emergencia nacional como consecuencia de un ataque de ransomware.
Ese ataque fue rápidamente seguido por la declaración del equipo que también estaba vinculado a un ataque a la agencia de inteligencia de Perú. “¡Que tengan un buen día!”, decía el anuncio del 7 de mayo, que incluía 9,41 terabytes de datos gubernamentales.
“Es casi seguro que el ransomware seguirá incluyéndose en las estrategias de ataque de los actores de las amenazas dirigidas a las empresas públicas y privadas debido a su disponibilidad como ransomware como servicio y a las altas tasas de éxito”.
Estos incidentes fueron sólo dos de los varios ataques de ransomware que se produjeron en América Central y del Sur entre enero y mayo de 2022, habiéndose reportado incidentes similares en México, Ecuador, Brasil y Argentina, además de Costa Rica y Perú. Las bandas de delincuentes ALPHV, LockBit 2.0 y BlackByte han estado activas en la región, según los investigadores.
