Ransomware: Los actores de amenazas se cuadruplicaron en la región en 2023
Desde la perspectiva de las amenazas a la ciberseguridad a nivel global, el año 2023 no fue precisamente seguro. Por el contrario, la presencia del ransomware o secuestro de datos se volvió casi endémica, consolidando la normalización de esta amenaza como un hecho cotidiano: si en 2023 se observó un aumento de 43,74% en brechas de seguridad con respecto al 2022 en todo el mundo, ello se debió principalmente al aumento del 71% que experimentó el ransomware.
Los secuestros de datos representaron, además, el 73% de las brechas de seguridad informática el último año y Sudamérica se ubicó como la cuarta región del mundo con mayor actividad cibercriminal, por detrás de Norteamérica, Europa y Asia, y por delante de Oceanía y África.
Así lo consigna el reporte Think Ahead Report 2024*, elaborado por NeoSecure by SEK, empresa del Grupo SEK reconocida por su oferta de soluciones y servicios de ciberseguridad destinados a ayudar a las empresas a hacer frente a amenazas digitales complejas. El reporte analizó más de 1.535.000 de alertas y aporta cifras regionales que incluyen los países donde opera la compañía: Chile, Argentina, Brasil, Colombia y Perú.
Proliferación de actores. A nivel global, durante 2023 los actores de amenazas relacionados con ransomware se incrementaron en más de 200%, lo que redunda en una variedad de técnicas más amplia que hace más compleja la protección a estos ataques. Se estima que la desarticulación de grupos de cibercrimen ocurrida durante 2023 generó una proliferación de emprendimientos por parte de aquellos miembros que no pudieron ser capturados. En Sudamérica, por ejemplo, el incremento de los actores de amenazas asociados a ransomware alcanzó un 443%, superando en más del doble al aumento global. En toda la región se observa la presencia de numerosos actores globales que operan en diversos países, con diferente nivel de actividad y foco, dependiendo de sus propias capacidades.
Principales industrias y países afectados. La actividad asociada al ransomware ha impactado a un conjunto heterogéneo de organizaciones en diversas industrias, como energía y comercio electrónico, y especialmente a la cadena de suministros, sobre todo a proveedores de telecomunicaciones y servicios de datacenters.
A nivel regional, los países que registraron mayor número de brechas por ransomware en 2023 fueron Brasil (87), Argentina (27), Colombia (18), Chile (14) y Perú (10). No es casualidad que la mayoría de las brechas se presenten en los países de mayor tamaño o desarrollo dentro de la región, puesto que allí operan redes de agentes que conocen bien el medio y están dispuestos a buscar nuevas ofertas de RaaS (Ransomware As A Software) con mejores condiciones comerciales y mayor posibilidad de éxito.
“El modelo de negocios de ransomware ha demostrado ser enormemente efectivo para el mundo del cibercrimen y todo indica que mantendrá su crecimiento durante 2024. Posiblemente veremos crecer los casos de doble y triple extorsión (cifrado de datos, exposición de datos, denegación de servicio) con técnicas más sofisticadas para aumentar el costo de la víctima”, señaló Fernando Fuentes, Portfolio Manager en NeoSecure by SEK.
El ejecutivo añadió que en este tipo de ataques aumentará el uso de deepfakes y de IA para generación de código y eventualmente la ejecución de parte de las acciones. Estas tendencias -añadió- explican por qué la ciberseguridad experimenta una relevancia cada vez mayor, alineada con el negocio y manifestada en el crecimiento de los presupuestos y la vitalidad del entorno de inversión de riesgo.
“El ransomware democratizó las ciberamenazas: da lo mismo si es Chile, Brasil, Colombia, Perú o Argentina… ataca por igual a la industria financiera, municipalidades, instituciones de salud, empresas pequeñas y grandes, y las técnicas varían dependiendo del grupo que las utilice”, agregó Fuentes, recordando que en el caso de Perú las empresas de mayor tamaño han invertido en ciberseguridad y cuentan con controles avanzados, pero las pequeñas están completamente indefensas.
Principales actores de amenaza en Latinoamérica. En general, la motivación principal de los actores en la región es de carácter monetario. LockBit es el actor con mayor presencia a nivel mundial y regional, siendo la principal amenaza especialmente en Argentina, Brasil, Colombia, Chile, México y Perú. Pero en Latinoamérica, se suman, además, otros dos actores destacados:
- LockBit (aka ABCD y EvilCorp): Su objetivo es lograr detener los procesos productivos y la doble extorsión. Su motivación subyacente es monetaria, por lo que sus ataques son dirigidos a todo tipo de industrias, aunque sus principales víctimas son empresas del rubro manufacturero, energía, utilities e infraestructura crítica. Utiliza StealBit para reunir y exfiltrar** datos.
- 8Base: Es el segundo actor malicioso con mayor presencia en Latinoamérica. Sus principales víctimas se encuentran en EE. UU. y Brasil, especialmente empresas del rubro transporte, químicas, industrias metalúrgicas y utilities. Utiliza phishing o credenciales comprometidas para ingresar en las redes corporativas de sus víctimas, a través de SystemBC para reunir y exfiltrar datos.
- BlackCat (aka Alpha, AlphaVM y Zirconium): Opera como Ransomware as a Service (Raas). Sus principales víctimas son el sector servicios legales, servicios IT y salud, también empresas que manejan altos volúmenes de información de identificación personal, y en especial las empresas del rubro energía, utilities e industria pesada. Obtiene acceso inicial a través de credenciales o phishing, utilizando ExMatter para reunir y exfiltrar datos.
En el recorte por países también aparecen otros actores con menor incidencia, como por ejemplo Medusa, Qilin, Akira, LostTrust Team y DragonForce en Argentina; STORMUS, Knight, Ransomed, Medusa, Akira, Rhysida, Mallox y Black Basta en Brasil; Medusa en Chile; CLOP, Medusa y NoEscape en Colombia, y CLOP, NoEscape, Royal, BlackByte y PLAY en México.