Recientemente se ha evidenciado un incremento de ataques de ransomware en LATAM y Chile, lo que da indicios de un nuevo foco de interés por parte de actores de amenazas para abarcar un mercado que hasta hace poco era escasamente explotado y que mediante diferentes registros es posible describir la actividad durante 2023 y sus comparativas en cuanto a registros históricos, pudiendo destacar y diferenciar actores con mayor presencia, la cantidad de víctimas de cada uno a nivel local y global de forma que permite un entendimiento de cómo se encuentra la región en comparación al mundo.
Es importante destacar que cada uno de los datos presentados en los gráficos a continuación se encuentra basado en publicaciones de los blogs de cada actor de amenazas y que según análisis realizados corresponden principalmente a organizaciones donde las negociaciones no han sido fructíferas para los atacantes, por tanto aplican esta técnica como medida de extorsión, por tanto en base a esto es posible entender que existe un número aún más elevado de víctimas sin embargo, muy probablemente hayan pagado por el rescate, objeto mantener la filtración de forma confidencial y/o sin darla a conocer a la opinión pública.
CHILE
Para el actual panorama de amenazas en Chile, se divide en diferentes puntos de interés como una comparativa anual con registros que abarcan desde 2020 hasta la fecha y que han permitido determinar actores con mayor presencia local, así como parte de los intereses de sus ataques, pudiendo entregar un registro tanto a nivel actual de 2023 como comparativas anuales que permiten observar tendencias de estos ataques para que sectores de interés tomen medidas de seguridad correspondientes a la contingencia de ciberseguridad local.
Es importante destacar que este tipo de amenazas tiene un origen completamente ajeno a latinoamérica tanto a niveles de desarrollo como a niveles de intereses geopolíticos, es posible entender que se genera un nuevo nicho de interés global y que se deriva luego de una larga y constante explotación de sectores que permiten gran retribución económica por la extorsión, principalmente ubicados en Norteamérica, Europa y Asia.
Comparativa anual
A continuación se expone un gráfico en el que se detalla una comparativa de los ataques realizados en los años 2020, 2021, 2022 y lo que va de 2023.
De esta forma con la información recopilada se puede obtener un promedio de 7 ataques anualmente, en donde el año 2023 se encuentra posicionado a solo una incidencia de alcanzarlo, por tanto se podría esperara para este año superar incluso todo lo alcanzado durante 2022.
Por otra parte si se analiza comparativamente los mismos periodos de cada uno de los años antes mencionados, la tendencia resulta en un alza que si se compara con el gráfico previo apoya la tendencia de un incremento para lo que resta de 2023.
Actores de amenaza presentes en Chile durante 2023
En cuanto a los actores que han centrado sus operaciones en el territorio chileno durante lo que va del 2023, gran parte corresponde a actores que se dirigen por primera o segunda vez al territorio según los registros históricos, a excepción de Blackbyte y Lockbit quienes ya cuentan con registros de ataques en años anteriores.
Adicionalmente se indican los sectores productivos a los cuales se han dirigido los intereses de los actores de amenaza, destacando que corresponden principalmente a operaciones de Ransomware As A Service (RaaS).
LATAM
A continuación se exponen las tendencias gráficas en el que se detalla una comparativa de los ataques realizados en LATAM en los años 2022 y lo que va de 2023.
De esta forma con la información obtenida se puede obtener comparativas de diferentes periodos que nos permitan determinar cómo se ha desarrollado la tendencia y de esta forma anticipar posibles factores de riesgo.
Estadísticas 2023
A continuación se presenta un mapa de calor con el total de víctimas de ransomware en LATAM desde enero hasta abril del 2023, posicionando en el TOP 5 a:
Se destaca la presencia de Chile como el tercer país más afectado por ransomware en lo que va del año con un registro de 6 víctimas.
Comparativa 2022 v/s 2023
Mediante una comparativa del Total de víctimas de ransomware en LATAM entre enero de 2022 y abril 2023 se observa que en lo que va del año se ha materializado un 27% de ataques respecto a los registros del año previo, y que entendiendo que desde enero a abril existe una proporción similar, la tendencia se mantiene con gran similitud.
A su vez si subdividimos las incidencias específicamente filtradas entre los meses de enero a abril de cada año, se observa una leve disminución durante 2023, sin embargo es importante considerar la brecha de días que restan para finalizar el mes en curso, lo cual podría resultar en tendencias con gran similitud, tal como su relación anual.
Estadísticas Históricas
A continuación se enseña un mapa de calor con total de víctimas por países latinoamericanos entre 2022 y 2023, detectando una alta concentración de incidencias dirigidas a:
A diferencia del mapa generado con registros únicamente durante 2023 si las incidencias se comparan con registros de mayor data, abarcando 2022, Chile se encuentra posicionado en el quinto lugar con 14 registros.
Actores de amenaza presentes en LATAM durante 2023
Por otra parte, si se observan los actores de amenaza con mayor incidencia dentro de los ataques a LATAM se observa liderando la lista a LockBit, el cual sin lugar a dudas mantiene la tendencia en lo que respecta a Ransomware, liderando además las incidencias globales mediante operaciones altamente especializadas.
De acuerdo a nuestros registros, 15 actores de amenaza han estado presentes en LATAM durante 2023, entre los cuales se suma un total de 54 ataques (2023) y 175 ataques entre 2022 - 2023 dirigidos contra distintos sectores.
¿Qué tan activos a nivel global son los actores de amenaza que tienen presencia en Chile y LATAM?
Obteniendo el detalle de los ransomwares que se han adjudicado víctimas latinoamericanas durante 2023, es posible observar que cada uno de ellos mantiene diferente expertis y data de funcionamiento, por tanto, si se segmentan mediante la cantidad histórica de cada uno, se puede dimensionar la gravedad del asunto, por tanto se entiende que un ataque de Lockbit resulta mucho más complejo, profesional y con mayores capacidades de daño, que un ataque realizado por CrossLock.
Por otra parte el TOP de actores de amenazas que cuentan con mayor presencia en LATAM durante 2022 y 2023 se destaca lo siguiente:
Actores de amenaza emergentes
En un aspecto similar al hilo previo, se mencionan los actores de amenaza emergentes a nivel global y que si bien existe una constante renovación de campañas en donde probablemente algunos de ellos duren escaso tiempo, también puede ser el inicio de grandes campañas, por esto se destaca un top 5 de los más actuales.
Apreciación
Representando la información recopilada para la confección de este boletín, podemos apreciar que los ciber actores están comenzando a fijar sus objetivos en Latinoamérica ya habiendo atacado otros continentes como Norteamérica, Europa y Asia, los antiguos y nuevos grupos de ransomware reconocen como objetivo provechoso a Latinoamérica, junto al avance de las nuevas tecnologías y la aparición de nuevos sistemas y softwares los ciber actores están buscando nuevas vulnerabilidades y fallos de seguridad para afectar con este tipo de amenazas a distintos sectores y empresas de la región, a fin de lograr un beneficio económico a través de la extorsión. Chile no es una excepción ocupando el 5to lugar en el ranking de los países más afectados en el periodo comprendido entre enero del 2022 a abril del 2023.
Se aprecia además una innovación en la forma de ataque, ya que los ciber actores están utilizando activamente el modelo de negocio RaaS (Ransomware as a Service), en donde a través de foros clandestinos en la Deep o DarkWeb se contratan servicios de ransomware, para crear distintas campañas contra organizaciones de su interés, en el cual los afiliados quienes distribuyen y participan en el proceso de infección reciben un porcentaje de las ganancias cuando la víctima accede a pagar por el rescate (práctica NO recomendada).
Es de esperar que este año y como ya se puede apreciar en los primeros 4 meses, tanto en Chile como en Latinoamérica, estaremos afectados activamente por ataques de esta naturaleza, lo importante es conocer en detalle la infraestructura propia de cada empresa u organización, a fin de reducir al máximo la superficie de ataque, corrigiendo a la brevedad, posibles vulnerabilidades en los distintos sistemas que componen la organización, también debemos aplicar todos los procedimientos de seguridad necesarios para evitar ser víctima de estos grupos de ciber actores organizados.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: