Los 10 más peligrosos actores de ciberamenazas

0
14
Custom Text

Cuando el hacking comenzó hace muchas décadas, fue principalmente el trabajo de entusiastas alimentados por su pasión por aprender todo lo que pudieran sobre computadoras y redes. Ahora, los hackers patrocinados por naciones estado están desarrollando herramientas de ciberespionaje cada vez más sofisticadas, mientras que los ciberdelincuentes están cobrando millones de dólares atacando a todos, desde empresas Fortune 500 hasta hospitales.

Los ciberataques nunca han sido más complejos, más rentables y quizás incluso más desconcertantes. A veces, trazar una línea clara entre los diferentes tipos de actividades es una tarea complicada. Los estados nación a veces se asocian entre sí para lograr un objetivo común y, a veces, incluso parecen estar trabajando en conjunto con bandas de ciberdelincuentes. Además, una vez que se lanza una herramienta maliciosa, a menudo los hackers de la competencia la reciclan y reutilizan.

A continuación, se muestran algunos de los grupos de ciberespionaje y ciberdelincuentes más creativos y peligrosos, enumerados sin ningún orden en particular:

Lazarus (también conocido como Hidden Cobra, Guardians of Peace, APT38, Whois Team, Zinc)
Lazarus, un grupo que se asocia con Corea del Norte, es conocido por quizás el mayor atraco cibernético de todos los tiempos: el ataque al Banco de Bangladesh, que llevó al robo de más de 100 millones de dólares en febrero del 2016. Sin embargo, el grupo hizo mucho más que eso.

Lazarus ha estado detrás de numerosas operaciones en la última década, comenzando con ataques DDoS contra páginas web de Corea del Sur, luego pasando a las organizaciones financieras y la infraestructura en este país, continuando con el ataque a Sony Pictures en el 2014 y el lanzamiento del ransomware WannaCry, en el 2017.

En los últimos años, Lazarus comenzó a investigar sobre ransomware y criptomonedas, apuntando también hacia investigadores de seguridad para obtener información sobre la investigación de vulnerabilidades en curso. Este grupo tiene «recursos ilimitados y muy buenas habilidades en ingeniería social”, afirma Dmitry Galov, investigador de seguridad de Kaspersky.

Estas habilidades de ingeniería social se pusieron en práctica durante la actual crisis de salud de la COVID-19, cuando las empresas farmacéuticas, incluyendo los fabricantes de vacunas, se convirtieron en algunos de los objetivos más urgentes de Lazarus. Según Microsoft, los hackers enviaron correos electrónicos de suplantación de identidad (spear phishing) que incluían «descripciones de trabajo inventadas” para atraer a sus objetivos a hacer clic en enlaces maliciosos.

«Este grupo se diferencia de otros porque, si bien es un grupo patrocinado por el estado, sus objetivos no son los gobiernos estatales, sino las empresas y, a veces, las personas que pueden tener información o acceso que los espías norcoreanos podrían querer tener en sus manos”, afirma Adam Kujawa, director de Malwarebytes Labs.

Lazarus utiliza una variedad de familias de malware personalizadas, que incluyen backdoorstunnelers, mineros de datos y malware destructivo, a veces desarrollado internamente. No escatima esfuerzos en sus implacables campañas.

«APT38 es único en el sentido de que no temen destruir agresivamente pruebas o redes de víctimas como parte de sus operaciones”, según Mandiant Threat Intelligence (FireEye). «Este grupo es cuidadoso, calculador y ha demostrado un deseo de mantener el acceso a los ambientes de las víctimas durante el tiempo que sea necesario para comprender el diseño de la red, los permisos requeridos y las tecnologías del sistema para lograr sus objetivos”.

UNC2452 (también conocido como Dark Halo, Nobelium, SilverFish, StellarParticle)
En el 2020, miles de organizaciones descargaron una actualización de software contaminada del software SolarWinds Orion, lo que le dio al atacante un punto de entrada a sus sistemas. El Pentágono, el gobierno del Reino Unido, el Parlamento Europeo y varias agencias gubernamentales y empresas de todo el mundo fueron víctimas de este ataque a la cadena de abastecimiento.

La operación de ciberespionaje había pasado desapercibida durante al menos nueve meses antes de ser descubierta el 8 de diciembre del 2020, cuando la empresa de seguridad FireEye anunció que era víctima de un atacante, patrocinado por un estado, que robó varias de sus herramientas de ‘equipo rojo’. Este truco resultó ser más extenso de lo que se pensaba inicialmente. El ataque a la cadena de abastecimiento del software SolarWinds Orion fue solo un canal de entrada utilizado por el atacante. Los investigadores encontraron otro ataque a la cadena de abastecimiento, esta vez en los servicios en la nube de Microsoft. También notaron que se aprovecharon varias fallas en los productos de Microsoft y VMware.

«UNC2452 es uno de los actores de amenazas más avanzados, disciplinados y esquivos que rastreamos”, afirma Charles Carmakal, vicepresidente sénior y director de tecnología de Mandiant Threat Intelligence (FireEye). «Su oficio es excepcional. Tienen un dominio de las habilidades ofensivas y defensivas, y han usado ese conocimiento para refinar sus técnicas de intrusión y esconderse a plena vista”. Agrega que UNC2452 demostró «un nivel de seguridad operativa que rara vez se ve”, pudiendo pasar tanto tiempo dentro de agencias gubernamentales y empresas sin ser atrapado.

La ANS, el FBI y algunas otras agencias estadounidenses afirmaron que la operación fue patrocinada por Rusia, y Estados Unidos impuso sanciones. Argumentaron que el ataque probablemente haya sido obra del Servicio de Inteligencia Exterior de la Federación de Rusia (SVR, por sus siglas en inglés). Otras pistas apuntan al grupo Cozy Bear/APT29.

Sin embargo, la historia parece ser más enredada. Los investigadores de Kaspersky notaron varios fragmentos de código que vinculan este ataque con la pandilla de habla rusa Turla (Snake, Uroburos), que apuntó a gobiernos y diplomáticos de Europa y EE.UU. Otro informe, publicado por Secureworks, afirma que Spiral, un grupo de hackers con sede en China, también apuntó a los clientes de SolarWinds en una operación separada.

Equation Group (también conocido como EQGRP, Housefly, Remsec)
Equation Group, otro actor de amenazas con habilidades y recursos excepcionales, comenzó a operar a principios de la década del 2000, tal vez incluso antes. Sin embargo, solo llegó a los titulares en el 2015, después de que los investigadores de seguridad de Kaspersky publicaran un informe que detallaba algunos de las avanzadas herramientas del grupo. Uno de los títulos del informe decía: «Un encuentro con el ‘Dios’ del ciberespionaje”.

Equation Group obtuvo su nombre porque utiliza un cifrado fuerte y métodos avanzados de confusión. Sus herramientas son muy sofisticadas y se han vinculado a la unidad Tailored Access Operations (TAO) de la NSA.

El grupo apuntó a organizaciones gubernamentales, militares y diplomáticas; instituciones financieras; y empresas que operan en telecomunicaciones, tecnología aeroespacial, energía, petróleo y gas, medios de comunicación y transporte. Muchas de las víctimas tenían su base en Irán, Rusia, Pakistán, Afganistán, India, Siria y Mali.

Una de las herramientas más poderosas de Equation Group es un módulo que puede reprogramar el firmware del disco duro de varios fabricantes, como Seagate, Western Digital, Toshiba e IBM, para crear una bóveda de almacenamiento secreta que sobrevive al borrado y al formateo. El grupo también creó un mecanismo de comando y control basado en USB que permitió el mapeo de redes con espacios abiertos. Lo hizo antes de que se integrara una función similar en Stuxnet.

Estas tecnologías de vanguardia terminaron en manos de otros actores de amenazas del Estado-nación. Las herramientas de Equation Group fueron adquiridas y reutilizadas por el actor chino de ciberespionaje, Buckeye (Gothic Panda, APT3, UPS Team), que las utilizó en el 2016 para atacar empresas en Europa y Asia, según Symantec. Los investigadores de Check Point descubrieron que Zirconium (APT31), otro grupo patrocinado por China, clonó el exploit EpMe de Equation Group para el exploit de privilegios de Windows, creando una herramienta llamada Jian. Todo esto sucedió antes de las filtraciones de Shadow Brokers en el 2017, cuando aparecieron en línea varias herramientas de hacking creadas por Equation Group, incluida EternalBlue, el notorio exploit utilizado en el ataque WannaCry.

«Las armas cibernéticas son digitales y volátiles por naturaleza”, escribieron los investigadores de Check Point Eyal Itkin e Itay Cohen. «Robarlas y transferirlas de un continente a otro puede ser tan simple como enviar un correo electrónico”.

Carbanak (también conocido como Anunak, Cobalt –se superpone con FIN7)
En el 2013, varias instituciones financieras fueron hackeadas siguiendo el mismo patrón. El atacante envió correos electrónicos de spear phishing tratando de penetrar en las organizaciones. Luego usó varias herramientas para llegar a las PC o servidores que podrían usarse para extraer datos o dinero. Carbanak, la banda de ciberdelincuentes responsable de estos ataques, llevó a cabo sus campañas de manera meticulosa, al igual que las APT, y a menudo pasaba meses dentro de los sistemas de la víctima sin ser notado.

El grupo Carbanak probablemente tenga su sede en Ucrania, y entre sus objetivos, principalmente, se encuentran compañías financieras con sede en Rusia, Estados Unidos, Alemania y China. Una víctima perdió 7,3 millones de dólares debido al fraude en cajeros automáticos, mientras que a otra se le quitaron 10 millones de dólares después de que su plataforma de banca en línea fuera atacada. A veces, el grupo ordenaba a los cajeros automáticos que distribuyeran efectivo en un momento predeterminado sin interacción humana on site.

Varias empresas de seguridad investigaron a Carbanak en el 2014 y todas sacaron conclusiones diferentes. «[Carbanak] parecían ser dos grupos diferentes que usaban el mismo malware”, afirma Ariel Jungheit, investigador senior de seguridad de Kaspersky. «Un grupo se centró en las instituciones financieras (este fue investigado en profundidad por Kaspersky), mientras que el otro grupo se centró más en las organizaciones minoristas. Aunque esto es cuestionado por otros, la teoría principal es que hubo un grupo inicial que luego cayó en varios subgrupos”.

En marzo del 2018, tras una «compleja investigación, Europol anunció que había detenido al autor intelectual del grupo Carbanak”. Sin embargo, hoy en día, muchos ciberdelincuentes que formaban parte de la pandilla todavía están activos, quizás parte de diferentes grupos, afirma Jungheit. La banda de ciberdelincuentes FIN7 está interesada, principalmente, en el comercio minorista y la hostelería, mientras que Cobalt se centra en las instituciones financieras.

«El impacto de las acciones policiales dirigidas a personas asociadas con grupos criminales grandes y con buenos recursos, como FIN7, puede ser difícil de evaluar, ya que las responsabilidades principales a menudo se pueden compartir entre muchas personas o equipos”, afirma Jeremy Kennelly, gerente seniorde análisis en Inteligencia Mandiant Threat Intelligence (FireEye). «Este arresto no fue seguido por un cambio significativo en las tácticas, técnicas y procedimientos de FIN7”, agrega.

Sandworm (también conocido como Telebots, Electrum, Voodoo Bear, Iron Viking)
El grupo ruso de ciberespionaje Sandworm se ha relacionado con algunos de los incidentes más destructivos de la última década, incluidos los cortes de energía en Ucrania en el 2015 y el 2016; el ataque a la cadena de abastecimiento de NotPetya, en el 2017, que entregó malware que inicialmente pasó por ransomware; los ataques contra los Juegos Olímpicos de Invierno de Pyeongchang del 2018, después de que los atletas rusos fueran prohibidos por dopaje y las operaciones relacionadas con las elecciones en varios países, incluyendo a Estados Unidos en el 2016, Francia en el 2017 y Georgia en el 2019.

«Las acusaciones de octubre del 2019 a oficiales de la GRU se ven como una larga lista de muchos de los ciberataques más importantes que hemos presenciado”, afirma «Consideramos con gran certeza de que la unidad 74455 de la GRU de la inteligencia militar rusa patrocina la actividad Sandworm”.

En los últimos años, las tácticas, técnicas y procedimientos del grupo han cambiado para integrar el ransomware, algo que los investigadores no necesariamente encuentran sorprendente. «El ransomware basado en cifrado, comúnmente asociado con campañas de delitos cibernéticos ampliamente dirigidos, podría ser reutilizado fácilmente por los actores del ciberespionaje para un tipo de ataque destructivo”, afirma Ben Read, director de análisis de Mandiant Threat Intelligence.

Evil Corp (conocido como Indrik Spider)
Evil Corp obtuvo su nombre de ‘Mr. Robot’, pero sus miembros y sus hazañas son anteriores al programa. Este grupo, de habla rusa, es el creador de Dridex, uno de los troyanos bancarios más peligrosos jamás creado, también conocido como Cridex o Bugat. El grupo atacó a Garmin en el 2020 y a decenas de otras empresas.

Los documentos judiciales muestran que Evil Corp utiliza un modelo de negocio de franquicia, dando acceso a Dridex a cambio de 100 mil dólares y el 50% de los ingresos. El FBI estima que el grupo robó no menos de 100 millones de dólares en la última década.

Los investigadores de seguridad afirman que, además de Dridex, Evil Corp también ha creado a WastedLocker, la familia de ransomware, así como al ransomware Hades. ESET también anunció que el ransomware BitPaymer probablemente fue obra del mismo actor de amenazas. «Lo que distingue a este grupo es lo efectivos que son en sus ataques; muchas organizaciones de seguridad comparan las operaciones de Evil Corp con lo que vemos de actores patrocinados por algún estado, con muchos recursos y capacitación”, afirma Kujawa.

En el 2019, el Departamento de Justicia de Estados Unidos acusó a dos miembros prominentes del grupo, Maksim Yakubets e Igor Turashev con varias acusaciones penales, incluyendo conspiración para cometer fraude y fraude electrónico. Sin embargo, esto no ha impedido que la pandilla continúe con su actividad. «Durante el año pasado, este adversario adoptó nuevas herramientas y les cambió el nombre a muchas otras para evitar las sanciones que introdujo el Departamento del Tesoro de Estados Unidos, las cuales evitarían que las víctimas paguen las demandas de rescate”, afirma Adam Meyers, vicepresidente sénior de CrowdStrike Intelligence. «Este actor continúa prosperando a pesar de las acusaciones activas contra las personas asociadas con el grupo y las sanciones contra sus operaciones”.

Fancy Bear (también conocido como APT28, Sofacy, Sednit, Strontium)
Este grupo de habla rusa ha existido desde mediados de la década del 2000, apuntando a organizaciones gubernamentales y militares, así como a empresas de energía y medios de comunicación en los Estados Unidos, Europa occidental y el sur del Cáucaso. Sus víctimas probablemente incluyen los parlamentos alemán y noruego, la Casa Blanca, la OTAN y la estación de televisión francesa, TV5.

Fancy Bear es mejor conocido por irrumpir en el Comité Nacional Demócrata y la campaña de Hillary Clinton en el 2016, supuestamente influyendo en el resultado de las elecciones presidenciales. Se cree que Fancy Bear estaba detrás de la personalidad de Guccifer 2.0., otro grupo de habla rusa, el Cozy Bear, también estaba dentro de las redes informáticas del Partido Demócrata, robando contraseñas de forma independiente, según CrowdStrike. Sin embargo, aparentemente, los dos bears no se conocían.

Fancy Bear se dirige a sus víctimas principalmente a través de mensajes de spear phishing que generalmente se envían los lunes y viernes. En varias ocasiones, registró dominios que parecían legítimos, creando páginas web falsas para recolectar credenciales.

LuckyMouse (también conocido como Emissary Panda, Iron Tiger, APT27)
Este actor de habla china ha estado activo durante más de una década, apuntando a embajadas y organizaciones extranjeras en diferentes industrias, incluidas la aeroespacial, la defensa, la tecnología, la energía, la salud, la educación y el gobierno. Ha realizado operaciones en América del Norte y del Sur, Europa, Asia y Medio Oriente.

El grupo tiene altas habilidades en pruebas de penetración, generalmente utilizando herramientas disponibles públicamente, como el marco Metasploit, afirma Jungheit de Kaspersky. «Además del spear phishing como método de entrega, el actor también usa SWC (compromiso web estratégico) en sus operaciones para apuntar a un conjunto de víctimas con un éxito notable”, agrega.

Los investigadores de Trend Micro notaron que el grupo puede actualizar y modificar sus herramientas rápidamente, lo que dificulta que los investigadores las detecten.

REvil (también conocido como Sodinokibi, Pinchy Spider -relacionado con GandCrab)
La banda REvil, que toma su nombre de la serie de películas y videojuegos Resident Evil, ejecuta algunas de las operaciones de ransomware como servicio (RaaS, por sus siglas en inglés) más prolíficas y tiene su sede en el mundo de habla rusa. El grupo fue visto por primera vez en abril del 2019, poco después del cierre del notorio GandCrab, y su negocio parece estar floreciendo desde entonces. Entre sus víctimas se encuentran Acer, Honda, Travelex y Brown-Forman, los fabricantes del whisky Jack Daniels.

«Los operadores de REvil han exigido los mayores rescates del 2021”, afirma Jungheit. «Para distribuir ransomware, REvil coopera con afiliados que son contratados en foros de ciberdelincuentes. Los afiliados ganan entre el 60% y el 75% del rescate”.

Los desarrolladores actualizan periódicamente el ransomware REvil para evitar la detección de ataques en curso. «El grupo informa sobre todas las actualizaciones importantes y las nuevas posiciones disponibles en el programa de socios en sus hilos en los foros de ciberdelincuentes”, afirma Jungheit.

REvil se diferencia de otros grupos por lo centrados en el negocio que están sus desarrolladores, afirma Kujawa de Malwarebytes Labs. «Uno de los miembros de este grupo concedió una entrevista el año pasado, describiendo que han recaudado 100 millones de dólares en pagos de rescate y amenazas de divulgación de datos, y planean expandir sus capacidades de extorsión en el futuro mediante el uso de ataques DDoS”, afirma.

Wizard Spider
El grupo Wizard Spider, de habla rusa, se vio por primera vez en el 2016, pero se ha vuelto cada vez más sofisticado en los últimos años, creando varias herramientas utilizadas para el ciberdelito. Al principio, Wizard Spider era conocido por su malware bancario de productos básicos TrickBot, pero luego amplió su conjunto de herramientas para incluir Ryuk, Conti y BazarLoader. La pandilla afina continuamente su arsenal para hacerlo más lucrativo.

«El corpus del malware de Wizard Spider no se anuncia abiertamente en foros criminales, lo que indica que probablemente solo venden acceso a grupos criminales confiables o trabajan junto a ellos”, afirma Meyers de CrowdStrike Intelligence. El grupo ha llevado a cabo diferentes tipos de operaciones, incluyendo algunas muy específicas, que tienen una propensión a las campañas de ransomware muy específicas, de alto rendimiento, conocidas como «big game hunting”.

Wizard Spider calcula el rescate que solicita en función del valor de sus objetivos, y ninguna industria parece estar fuera de los límites. Durante la crisis de la COVID-19, atacó con Ryuk y Conti a docenas de organizaciones de salud en los Estados Unidos. También se han visto afectados hospitales de diferentes partes del mundo.

BONUS: Winnti (también conocido Barium, Double Dragon, Wicked Panda, APT41, Lead, Bronze Atlas)
Winnti es probablemente un conjunto de subgrupos vinculados con sede en China que han realizado tanto actividades delictivas como ataques patrocinados por el estado. Sus campañas de ciberespionaje se han dirigido a empresas de tecnología y atención médica, a menudo robando propiedad intelectual. Mientras tanto, su brazo de delitos cibernéticos con motivaciones financieras atacó la industria de los videojuegos, manipuló la moneda virtual e intentó implementar ransomware.

«La dificultad para definir este grupo se debe principalmente a las superposiciones que vemos entre las campañas atribuidas a Winnti y otros grupos APT de habla china, por ejemplo, un conjunto de herramientas y malware compartido entre varios actores de habla china”, afirma Jungheit.

Se ha observado que Winnti utiliza docenas de familias de códigos y herramientas diferentes, y a menudo se basa en correos electrónicos de spear phishing para penetrar en una organización. «En una campaña que duró casi un año, APT41 comprometió cientos de sistemas y utilizó cerca de 150 piezas únicas de malware, incluyendo backdoors, ladrones de credenciales, registradores de teclas y rootkits”, según Mandiant Threat Intelligence. «APT41 también ha desplegado rootkits y bootkits Master Boot Record (MBR), sobre una base limitada, para ocultar su malware y mantener la persistencia en determinados sistemas de víctima”.

Andrada Fiscutean CSOonline.com – CIOPeru.pe

 

Artículo anterior3 startups de inteligencia artificial que revolucionan el PLN
Artículo siguienteSe filtran más de mil millones de registros de búsquedas web de la farmacéutica CVS