Cuando el hacking comenzó hace muchas décadas, era principalmente obra de entusiastas alimentados por su pasión por aprender todo lo posible sobre ordenadores y redes. En la actualidad, los grupos de ciberdelincuentes más destacados y peligrosos están desarrollando herramientas de ciberespionaje cada vez más sofisticadas, mientras que los ciberdelincuentes se embolsan millones de dólares atacando desde empresas de la lista Fortune 500 hasta hospitales.
Los ciberataques nunca han sido más complejos, más rentables y quizás incluso más desconcertantes. Trazar líneas claras entre los distintos tipos de actividad es a veces una tarea difícil. Los Estados-nación a veces colaboran entre sí con un objetivo común y a veces incluso parecen trabajar en tándem con bandas de ciberdelincuentes. Además, una vez liberada, una herramienta maliciosa suele ser reciclada y reutilizada por atacantes que explotan amenazas competidoras.
A continuación se enumeran algunos de los grupos de ciberespionaje y ciberdelincuencia más creativos y peligrosos, sin ningún orden en particular:
Lazarus (alias Hidden Cobra, Guardians of Peace, APT38, Whois Team, Zinc)
Grupo asociado a Corea del Norte, Lazarus es conocido por el que quizá sea el mayor ciberatraco de todos los tiempos: el ataque al Bangladesh Bank, que supuso el robo de más de 100 millones de dólares en febrero de 2016. Sin embargo, el grupo ha hecho mucho más que eso.
De hecho, Lazarus ha estado detrás de numerosas operaciones a lo largo de la última década, comenzando con los ataques DDoS contra sitios web de Corea del Sur, pasando a dirigirse a organizaciones e infraestructuras financieras, y continuando con el ataque a Sony Pictures en 2014 y el lanzamiento del ransomware WannaCry en 2017.
En los últimos años, Lazarus ha comenzado a utilizar herramientas como el ransomware y la criptomoneda y también ha apuntado a los investigadores de seguridad para obtener información sobre las vulnerabilidades. Este grupo tiene «recursos ilimitados y muy buenas habilidades de ingeniería social», dice Dmitry Galov, investigador de seguridad de Kaspersky.
Estas habilidades de ingeniería social se pusieron en práctica durante la actual crisis sanitaria provocada por el COVID-19, cuando las empresas farmacéuticas, incluidos los fabricantes de vacunas, se convirtieron en algunos de los objetivos favoritos de Lazarus. Según Microsoft, los hackers enviaron correos electrónicos de spear-phishing que incluían «descripciones de trabajo inventadas», incitando a sus objetivos a hacer clic en enlaces maliciosos.
«Este grupo es diferente a los demás porque, aunque está patrocinado por el Estado, sus objetivos no son los gobiernos estatales, sino las empresas y, a veces, los individuos que pueden tener información o acceso que los espías norcoreanos podrían querer obtener», dijo Adam Kujawa, director de Malwarebytes Labs.
Lazarus utiliza una variedad de familias de malware personalizadas, incluyendo puertas traseras, tunnellers, mineros de datos y malware destructivo, a veces desarrollado internamente. «Este grupo está atento y ha demostrado su deseo de mantener el acceso a los entornos de las víctimas durante el tiempo necesario para comprender la disposición de la red, los permisos necesarios y las tecnologías de los sistemas para lograr sus objetivos», continúa Kujama.
UNC2452 (alias Dark Halo, Nobelium, SilverFish, StellarParticle)
En 2020, miles de organizaciones descargaron una actualización corrupta del software SolarWinds Orion, proporcionando al atacante un punto de entrada a sus sistemas. El Pentágono, el gobierno del Reino Unido, el Parlamento Europeo y varias agencias gubernamentales y empresas de todo el mundo fueron víctimas de este ataque a la cadena de suministro.
La operación de ciberespionaje había pasado desapercibida durante al menos nueve meses antes de ser descubierta el 8 de diciembre de 2020, cuando la empresa de seguridad FireEye anunció que había sido víctima de un atacante patrocinado por el Estado que robó muchas de sus herramientas Este hackeo resultó ser más amplio de lo que se pensaba inicialmente. El ataque a la cadena de suministro del software SolarWinds Orion fue sólo un canal de entrada utilizado por el atacante. Los investigadores descubrieron otro ataque a la cadena de suministro, esta vez dirigido a los servicios en la nube de Microsoft.
«UNC2452 es uno de los actores de amenazas más avanzados, disciplinados y escurridizos que monitoreamos», dice Charles Carmakal, SVP y CTO de Mandiant Threat Intelligence (FireEye). «Dominan tanto las habilidades ofensivas como las defensivas y han utilizado ese conocimiento para perfeccionar sus técnicas de intrusión para esconderse a plena vista». Carmakal añade que UNC2452 ha demostrado «un nivel de seguridad operativa pocas veces visto» al poder pasar tanto tiempo dentro de organismos gubernamentales y empresas sin ser detectado.
La NSA, el FBI y algunas otras agencias estadounidenses afirmaron que la operación estaba patrocinada por Rusia y que Estados Unidos había impuesto sanciones. Afirmaron que el hackeo era probablemente obra del Servicio de Inteligencia Exterior de la Federación Rusa (SVR). Otras pistas apuntan al grupo Cozy Bear/APT29.
Sin embargo, la historia parece ser más intrincada. Los investigadores de Kaspersky observaron varios fragmentos de código que relacionan este ataque con el grupo ruso Turla (Snake, Uroburos), que ha atacado a gobiernos y diplomáticos en Europa y Estados Unidos. Otro informe, publicado por Secureworks, afirma que un grupo de hackers con sede en China, Spiral, también se dirigió a los clientes de SolarWinds en una operación separada.
Equation Group (también conocido como EQGRP, Housefly, Remsec)
Otro actor destacado en lo que respecta a la piratería en v2021, entre otros con capacidades y recursos excepcionales, es Equation Group, que comenzó a operar a principios de la década de 2000. Sin embargo, no fue noticia hasta 2015, después de que los investigadores de seguridad de Kaspersky publicaran un informe en el que se detallaban algunas de las herramientas de vanguardia del grupo. Uno de los titulares del informe decía: «Una cita con el Dios del ciberespionaje».
Equation Group se llama así porque utiliza métodos avanzados de criptografía y ofuscación. Sus herramientas son muy sofisticadas y se han vinculado a la unidad de Operaciones de Acceso a Medida (TAO) de la NSA. El grupo tenía como objetivo organizaciones gubernamentales, militares y diplomáticas, instituciones financieras y empresas que operan en los sectores de telecomunicaciones, aeroespacial, energía, petróleo y gas, medios de comunicación y transporte. Muchas de las víctimas se encontraban en Irán, Rusia, Pakistán, Afganistán, India, Siria y Mali.
Una de las herramientas más potentes del Grupo Equation es un módulo que puede reprogramar el firmware de los discos duros de varios fabricantes, como Seagate, Western Digital, Toshiba e IBM, para crear un «repositorio» secreto que sobrevive al borrado y al reformateo. El grupo también creó un mecanismo de mando y control basado en USB que permitía el mapeo del entrehierro. Lo hizo antes de que se integrara una funcionalidad similar en Stuxnet.
Estas tecnologías de vanguardia fueron luego adquiridas y reutilizadas por el grupo de ciberespionaje chino Buckeye (Gothic Panda, APT3, UPS Team), que las utilizó en 2016 para atacar a empresas en Europa y Asia, según Symantec. Los investigadores de CheckPoint descubrieron que Zirconium (APT31), otro grupo patrocinado por China, clonó el exploit EpMe de Equation Group para la escalada de privilegios en Windows, creando una herramienta llamada Jian. Todo esto ocurrió antes de la sensacional filtración de Shadow Brokers en 2017, cuando aparecieron en línea varias herramientas de hacking creadas por Equation Group, incluido el infame exploit EternalBlue utilizado en el ataque WannaCry.
«Las ciberarmas son digitales y volátiles por naturaleza», escribieron los investigadores de CheckPoint Eyal Itkin e Itay Cohen. «Robarlos y transferirlos de un continente a otro puede ser tan sencillo como enviar un correo electrónico».
Carbanak (alias Anunak, Cobalto y FIN7)
En 2013, varias instituciones financieras fueron hackeadas siguiendo el mismo patrón. El atacante envió correos electrónicos de spear-phishing para intentar penetrar en las organizaciones. A continuación, utilizaba diversas herramientas para llegar a los ordenadores o servidores que podían utilizarse para extraer datos o dinero. La banda de ciberdelincuentes responsable de estos ataques, Carbanak, llevó a cabo sus campañas de forma meticulosa, al igual que las APT, pasando a menudo meses dentro de los sistemas de las víctimas sin ser detectados.
El grupo Carbanak tiene probablemente su sede en Ucrania y sus objetivos son empresas financieras con sede principalmente en Rusia, Estados Unidos, Alemania y China. Una de las víctimas perdió 7,3 millones de dólares por un fraude en cajeros automáticos, mientras que otra perdió 10 millones de dólares después de que su plataforma bancaria en línea fuera objeto de un ataque. En ocasiones, el grupo ordenó a los cajeros automáticos que dispensaran dinero en efectivo a horas fijas sin interacción humana in situ.
Varias empresas de seguridad investigaron a Carbanak en 2014 y todas sacaron conclusiones diferentes. «Carbanak es una entidad formada por dos grupos diferentes que utilizaban el mismo malware», afirma Ariel Jungheit, investigador principal de seguridad de Kaspersky. «Un grupo se centró principalmente en las instituciones financieras, mientras que el otro se centró más en las organizaciones minoristas. Aunque esto es discutido por otros, la teoría principal es que hubo un grupo inicial que luego se dividió en varios subgrupos».
En marzo de 2018, Europol anunció que había detenido al cerebro del grupo Carbanak tras una «compleja investigación». Sin embargo, hoy en día, muchos ciberdelincuentes que formaban parte de la banda siguen activos, quizás formando parte de grupos diferentes, afirma Jungheit. La banda de ciberdelincuentes FIN7 está interesada principalmente en el comercio minorista y el sector de la hostelería, mientras que Cobalt se centra en las instituciones financieras.
«El impacto de la acción de las fuerzas de seguridad contra individuos asociados a grandes grupos criminales con buenos recursos, como el FIN7, puede ser difícil de evaluar, ya que las responsabilidades clave a menudo pueden ser compartidas entre muchas personas o equipos», afirma Jeremy Kennelly, director senior de análisis de Mandiant Threat Intelligence (FireEye). «Este cierre no fue seguido de un cambio significativo en las tácticas, técnicas y procedimientos del FIN7», añade.
Sandworm (alias Telebot, Electrum, Voodoo Bear, Iron Viking)
El grupo de ciberespionaje ruso Sandworm ha estado vinculado a algunos de los incidentes más destructivos de la última década, incluidos los cortes de energía en Ucrania en 2015 y 2016, el ataque NotPetya de 2017, los ataques en 2018 contra los Juegos Olímpicos de Invierno de Pyeongchang después de que los atletas rusos fueran prohibidos por dopaje, y las operaciones relacionadas con las elecciones en varios países, como Estados Unidos en 2016, Francia en 2017 y Georgia en 2019.
En los últimos años, las tácticas, técnicas y procedimientos del grupo han cambiado para incorporar el ransomware, lo que a los investigadores no les resulta necesariamente sorprendente. «El ransomware basado en el cifrado, comúnmente asociado a campañas de ciberdelincuencia ampliamente dirigidas, podría ser fácilmente reutilizado por grupos de ciberespionaje para un tipo de ataque destructivo», afirma Ben Read, director de análisis de Mandiant Threat Intelligence.
Evil Corp (alias Indrik Spider)
Evil Corp lleva el nombre de la serie de televisión Mr. Robot. Se trata de un grupo ruso que ha creado uno de los troyanos bancarios más peligrosos de la historia, Dridex, también conocido como Cridex o Bugat. El grupo atacó a Garmin en 2020 y a docenas de otras empresas.
Los documentos muestran que Evil Corp utiliza un modelo de negocio de franquicia, dando acceso a Dridex a cambio de 100.000 dólares y el 50% de los ingresos. El FBI calcula que el grupo ha robado nada menos que 100 millones de dólares en la última década.
Los investigadores de seguridad dicen que, además de Dridex, Evil Corp también creó la familia de ransomware WastedLocker y el ransomware Hades. ESET también descubrió que el ransomware BitPaymer era probablemente obra del mismo grupo. En 2019, el Departamento de Justicia de Estados Unidos acusó a dos miembros destacados del grupo, Maksim Yakubets e Igor Turashev, de varios cargos penales, como conspiración para cometer fraude y fraude electrónico, pero esto no impidió que la banda continuara con sus actividades.
«En el último año, Evil Corp ha adoptado nuevas herramientas y ha cambiado el nombre de varias de ellas para evitar las sanciones introducidas por el Departamento del Tesoro de los Estados Unidos que impedirían a las víctimas pagar las peticiones de rescate», afirma Adam Meyers, SVP de CrowdStrike Intelligence. «Este grupo sigue prosperando a pesar de las acusaciones activas contra individuos asociados a él y de las sanciones contra sus operaciones».
Fancy Bear (alias APT28, Sofacy, Sednit, Strontium)
Este grupo de habla rusa existe desde mediados de la década de 2000 y tiene como objetivo organizaciones gubernamentales y militares, así como empresas energéticas y de medios de comunicación de Estados Unidos, Europa Occidental y el Cáucaso Sur. Es probable que entre sus víctimas se encuentren los parlamentos alemán y noruego, la Casa Blanca, la OTAN y el canal de televisión francés TV5.
Fancy Bear es más conocido por haber irrumpido en el Comité Nacional Demócrata y en la campaña de Hillary Clinton en 2016, influyendo supuestamente en el resultado de las elecciones presidenciales. Según CrowdStrike, otro grupo de habla rusa, Cozy Bear, también estaba dentro de las redes informáticas del Partido Demócrata, robando independientemente las contraseñas. Sin embargo, aparentemente, los «dos osos» no se conocían.
Fancy Bear se dirige a sus víctimas principalmente a través de mensajes de spear-phishing que suelen enviarse los lunes y los viernes. En varias ocasiones, registró dominios de apariencia similar a los legítimos, construyendo sitios web falsos para recoger credenciales.
LuckyMouse (alias Emissary Panda, Iron Tiger, APT27)
Este grupo de habla china lleva más de una década de actividad y se ha dirigido a embajadas y organizaciones extranjeras de diversos sectores, como el aeroespacial, la defensa, la tecnología, la energía, la sanidad, la educación y el gobierno. Ha realizado operaciones en América del Norte y del Sur, Europa, Asia y Oriente Medio.
El grupo tiene una gran experiencia en pruebas de penetración, normalmente utilizando herramientas disponibles públicamente como el framework Metasploit, dice Jungheit de Kaspersky. «Además del spear-phishing como método de ataque, el grupo también utiliza el SWC (strategic web compromise) en sus operaciones para dirigirse a una serie de víctimas con un éxito considerable.» Los investigadores de Trend Micro señalaron que el grupo puede actualizar y modificar sus herramientas rápidamente, lo que dificulta su detección por parte de los investigadores.
REvil (alias Sodinokibi, Pinchy Spider y GandCrab)
El grupo REvil, que toma su nombre de la serie de películas y videojuegos Resident Evil, dirige algunas de las operaciones más prolíficas de ransomware como servicio (RaaS) y tiene su sede en Rusia. El grupo fue visto por primera vez en el trabajo en abril de 2019, justo después de que el infame GandCrab fuera cerrado, y desde entonces su negocio parece estar floreciendo. Entre sus víctimas se encuentran Acer, Honda, Travelex y los fabricantes de whisky Jack Daniels y Brown-Forman.
«Los operadores del mal exigieron los rescates más altos en 2021», dice Jungheit. «Para la distribución del ransomware, REvil trabaja con afiliados contratados en foros de ciberdelincuentes. Los afiliados ganan entre el 60% y el 75% del rescate».
Los desarrolladores actualizan regularmente el ransomware REvil para evitar la detección de los ataques en curso. «El grupo informa de todas las actualizaciones importantes y de las nuevas ubicaciones disponibles en el programa de socios en sus hilos en los foros de ciberdelincuentes», dice Jungheit.
REvil se diferencia de otros grupos en que sus desarrolladores se centran en el negocio, dice Kujawa de Malwarebytes Labs. «Uno de los miembros de este grupo concedió una entrevista el año pasado en la que describía que habían recibido 100 millones de dólares como resultado del pago de rescates y amenazas de liberación de datos, y que planean ampliar su capacidad de extorsión en el futuro utilizando ataques DDoS.»
Wizard Spider y Winnti
El grupo de habla rusa Wizard Spider fue identificado por primera vez en 2016, pero en los últimos años se ha vuelto cada vez más sofisticado, construyendo varias herramientas utilizadas para el cibercrimen. Inicialmente, Wizard Spider era conocido por su malware bancario TrickBot, pero más tarde amplió su conjunto de herramientas para incluir Ryuk, Conti y BazarLoader. El grupo perfecciona continuamente su arsenal para hacerlo más rentable.
«El corpus de malware de Wizard Spider no se anuncia abiertamente en los foros criminales; una señal de que probablemente sólo están vendiendo el acceso a grupos criminales de confianza o colaborando con ellos», dice Meyers, de CrowdStrike Intelligence. El grupo ha llevado a cabo varios tipos de operaciones, entre ellas algunas muy específicas, con una predilección por las campañas de ransomware muy específicas y de alto rendimiento conocidas como «caza mayor».
Wizard Spider calcula el rescate que pide en función del valor de sus objetivos, y ningún sector parece estar fuera de los límites. Durante la crisis de COVID-19, atacó con Ryuk y Conti a decenas de organizaciones sanitarias en Estados Unidos. Los hospitales de diferentes partes del mundo también se vieron afectados.
Winnti (también conocido como Barium, Double Dragon, Wicked Panda, APT41, Lead, Bronze Atlas) es probablemente un conjunto de subgrupos relacionados con base en China que han llevado a cabo tanto actividades cibernéticas delictivas como ataques patrocinados por el Estado. Sus campañas de ciberespionaje se han dirigido a empresas sanitarias y tecnológicas, a menudo robando su propiedad intelectual. Mientras tanto, su brazo de ciberdelincuencia ha atacado la industria de los videojuegos, ha manipulado monedas virtuales y ha intentado distribuir ransomware.
«La dificultad para definir este grupo proviene principalmente de los solapamientos que observamos entre las campañas atribuidas a Winnti y otros grupos APT de lengua china, por ejemplo un conjunto de herramientas y malware compartido entre múltiples actores de lengua china», afirma Jungheit.
Se ha observado que Winnti utiliza docenas de familias diferentes de códigos y herramientas y a menudo se basa en correos electrónicos de spear-phishing para penetrar en una organización. «En una campaña que duró casi un año, APT41 comprometió cientos de sistemas y utilizó casi 150 programas maliciosos únicos, incluyendo puertas traseras, ladrones de credenciales, keyloggers y rootkits», según Mandiant Threat Intelligence. «APT41 también distribuyó rootkits y bootkits de Master Boot Record (MBR) de forma limitada para ocultar su malware y mantener su persistencia en sistemas de víctimas específicas.»
Redacción CambioDigital OnLine
