Panorama de Amenazas Q1 2023 - Chile y LATAM

Recientemente se ha evidenciado un incremento de ataques de ransomware en LATAM y Chile, lo que da indicios de un nuevo foco de interés por parte de actores de amenazas para abarcar un mercado que hasta hace poco era escasamente explotado y que mediante diferentes registros es posible describir la actividad durante 2023 y sus comparativas en cuanto a registros históricos, pudiendo destacar y diferenciar actores con mayor presencia, la cantidad de víctimas de cada uno a nivel local y global de forma que permite un entendimiento de cómo se encuentra la región en comparación al mundo.

Es importante destacar que cada uno de los datos presentados en los gráficos a continuación se encuentra basado en publicaciones de los blogs de cada actor de amenazas y que según análisis realizados corresponden principalmente a organizaciones donde las negociaciones no han sido fructíferas para los atacantes, por tanto aplican esta técnica como medida de extorsión, por tanto en base a esto es posible entender que existe un número aún más elevado de víctimas  sin embargo, muy probablemente hayan pagado por el rescate, objeto mantener la filtración de forma confidencial y/o sin darla a conocer a la opinión pública.

CHILE

Para el actual panorama de amenazas en Chile, se divide en diferentes puntos de interés como una comparativa anual con registros que abarcan desde 2020 hasta la fecha y que han permitido determinar actores con mayor presencia local, así como parte de los intereses de sus ataques, pudiendo entregar un registro tanto a nivel actual de 2023 como comparativas anuales que permiten observar tendencias de estos ataques para que sectores de interés tomen medidas de seguridad correspondientes a la contingencia de ciberseguridad local.

Es importante destacar que este tipo de amenazas tiene un origen completamente ajeno a latinoamérica tanto a niveles de desarrollo como a niveles de intereses geopolíticos, es posible entender que se genera un nuevo nicho de interés global y que se deriva luego de una larga y constante explotación de sectores que permiten gran retribución económica por la extorsión, principalmente ubicados en Norteamérica, Europa y Asia.

Comparativa anual

A continuación se expone un gráfico en el que se detalla una comparativa de los ataques realizados en los años 2020, 2021, 2022 y lo que va de 2023.

De esta forma  con la información recopilada se puede obtener un promedio de 7 ataques anualmente, en donde el año 2023 se encuentra posicionado a solo una incidencia de alcanzarlo, por tanto se podría esperara para este año superar incluso  todo lo alcanzado durante 2022.

Por otra parte si se analiza comparativamente los mismos periodos de cada uno de los años antes mencionados, la tendencia resulta en un alza que si se compara con el gráfico previo apoya la tendencia de un incremento para lo que resta de 2023.

Actores de amenaza presentes en Chile durante 2023

En cuanto a los actores que han centrado sus operaciones en el territorio chileno durante lo que va del 2023, gran parte corresponde a actores que se dirigen por primera o segunda vez al territorio según los registros históricos, a excepción de Blackbyte y Lockbit quienes ya cuentan con registros de ataques en años anteriores.

Adicionalmente se indican los sectores productivos a los cuales se han dirigido los intereses de los actores de amenaza, destacando que corresponden principalmente a operaciones  de Ransomware As A Service (RaaS).

LATAM

A continuación se exponen las tendencias gráficas en el que se detalla una comparativa de los ataques realizados en LATAM en los años 2022 y lo que va de 2023.

De esta forma  con la información obtenida se puede obtener comparativas de diferentes periodos que nos permitan determinar cómo se ha desarrollado la tendencia y de esta forma anticipar  posibles factores de riesgo.

Estadísticas 2023

A continuación se presenta un mapa de calor con el  total de víctimas de ransomware en LATAM desde enero hasta abril del 2023, posicionando en el TOP 5 a:

• Brasil
• México
• Chile
• Argentina
• Colombia

Se destaca la presencia de Chile como el tercer país más afectado por ransomware en lo que va del año con un registro de 6 víctimas.

Comparativa 2022 v/s 2023

Mediante una comparativa del Total de víctimas de ransomware en LATAM entre enero de 2022 y abril 2023 se observa que en lo que va del año se ha materializado un 27% de ataques respecto a los registros del año previo, y que entendiendo que desde enero a  abril existe una proporción similar, la tendencia se mantiene con gran similitud.

A su vez si subdividimos las incidencias específicamente filtradas entre los meses de enero a abril de cada año, se observa una leve disminución durante 2023, sin embargo es importante considerar la brecha de días que restan para finalizar el mes en curso, lo cual podría resultar en tendencias con gran similitud, tal como su relación anual.

Estadísticas Históricas

A continuación se enseña un mapa de calor con total de víctimas por países latinoamericanos entre 2022 y 2023, detectando una alta concentración de incidencias dirigidas a:

• Brasil
• México
• Argentina
• Colombia
• Chile

A diferencia del mapa generado con registros únicamente durante 2023 si las incidencias se comparan con registros de mayor data, abarcando 2022, Chile se encuentra posicionado en el quinto lugar con 14 registros.

Actores de amenaza presentes en LATAM durante 2023

Por otra parte, si se observan los actores de amenaza con mayor incidencia dentro de los ataques a LATAM se observa liderando la lista a LockBit, el cual sin lugar a dudas mantiene la tendencia en lo que respecta a Ransomware, liderando además las incidencias globales mediante operaciones altamente especializadas.

De acuerdo a nuestros registros, 15 actores de amenaza han estado presentes en LATAM durante 2023, entre los cuales se suma un total de 54 ataques (2023) y 175 ataques entre 2022 - 2023 dirigidos contra distintos sectores.

• LockBit
  • Fecha inicio actividad: Septiembre de 2019
  • Cantidad de víctimas históricas en LATAM: 90  (2022 hasta 2023)
• CL0P
  • Fecha inicio actividad: Febrero de 2019
  • Cantidad de víctimas históricas en LATAM:  9 (2022 hasta 2023)
• BlackCat(ALPHV)
  • Fecha inicio actividad:  Diciembre de 2021
  • Cantidad de víctimas históricas en LATAM:  21 (2022 hasta 2023)
• Royal
  • Fecha inicio actividad:Septiembre de 2021
  • Cantidad de víctimas históricas en LATAM:  9 (2022 hasta 2023)
• ViceSociety
  • Fecha inicio actividad: Mayo de 2021
  • Cantidad de víctimas históricas en LATAM: 13  (2022 hasta 2023)
• Medusa
  • Fecha inicio actividad: Septiembre de 2019
  • Cantidad de víctimas históricas en LATAM:  2 (2022 hasta 2023)
• STORMOUS
  • Fecha inicio actividad: Mediados de 2021
  • Cantidad de víctimas históricas en LATAM:  7 (2022 hasta 2023)
• Bl00dy
  • Fecha inicio actividad: Julio de 2022
  • Cantidad de víctimas históricas en LATAM:  1 (2022 hasta 2023)
• AvosLocker
  • Fecha inicio actividad: Julio de 2021
  • Cantidad de víctimas históricas en LATAM:  4 (2022 hasta 2023)
• Ragnar_locker
  • Fecha inicio actividad: Abril de 2020 
  • Cantidad de víctimas históricas en LATAM:  1 (2022 hasta 2023)
• DarkPower
  • Fecha inicio actividad: Enero de 2023
  • Cantidad de víctimas históricas en LATAM:  1 (2022 hasta 2023)
• Mallox
  • Fecha inicio actividad: Mediados de 2021
  • Cantidad de víctimas históricas en LATAM:  2 (2022 hasta 2023)
• Karakurt
  • Fecha inicio actividad: Mediados de 2021
  • Cantidad de víctimas históricas en LATAM:  4 (2022 hasta 2023)
• CrossLock
  • Fecha inicio actividad: Abril de 2023
  • Cantidad de víctimas históricas en LATAM: 1  (2022 hasta 2023)
• BlackByte
  • Fecha inicio actividad: Septiembre de 2021
  • Cantidad de víctimas históricas en LATAM: 1  (2022 hasta 2023)

¿Qué tan activos a nivel global son los actores de amenaza que tienen presencia en Chile y LATAM?

Obteniendo el detalle de los ransomwares que se han adjudicado víctimas latinoamericanas durante 2023, es posible observar que cada uno de ellos  mantiene diferente expertis y data de funcionamiento, por tanto, si se segmentan mediante la cantidad histórica de cada uno, se puede dimensionar la gravedad del asunto, por tanto se entiende que un ataque de Lockbit resulta mucho más complejo, profesional y con mayores capacidades de daño, que un ataque realizado por CrossLock.

Por otra parte el TOP de actores de amenazas que cuentan con mayor presencia en LATAM durante 2022 y 2023 se destaca lo siguiente:

Actores de amenaza emergentes

En un aspecto similar al hilo previo, se mencionan los actores de amenaza emergentes a nivel global y que si bien existe una constante renovación de campañas en donde probablemente algunos de ellos duren escaso tiempo, también puede ser el inicio de grandes campañas, por esto se destaca un top 5 de los más actuales.

• CrossLock
  • Fecha primera victima: 16 Abril 2023
  • Cantidad de victimas: 1
  • Paises atacados: Brasil
• MoneyMessage
  • Fecha primera victima: marzo 2023
  • Cantidad de victimas: 10
  • Paises atacados: EE.UU, UK, Bangladesh, Taiwan
• Trigona
  • Fecha primera victima: octubre 2022
  • Cantidad de victimas: 15 (al 16 de marzo)  , 6 activas
  • Paises atacados: EE.UU
• Unsafe
  • Fecha primera victima: 02 enero 2023
  • Cantidad de victimas: 10 
  • Paises atacados: EE.UU, Oman, Francia
• CipherLocker
  • Fecha primera victima: 10 abril 2023
  • Cantidad de victimas: 3
  • Paises atacados: -

Apreciación

Representando la información recopilada para la confección de este boletín, podemos apreciar que los ciber actores están comenzando a fijar sus objetivos en Latinoamérica ya habiendo atacado otros continentes como Norteamérica, Europa y Asia, los antiguos y nuevos grupos de ransomware reconocen como objetivo provechoso a Latinoamérica, junto al avance de las nuevas tecnologías y la aparición de nuevos sistemas y softwares los ciber actores están buscando nuevas vulnerabilidades y fallos de seguridad para afectar con este tipo de amenazas a distintos sectores y empresas de la región, a fin de lograr un beneficio económico a través de la extorsión. Chile no es una excepción ocupando el 5to lugar en el ranking de los países más afectados en el periodo comprendido entre enero del 2022 a abril del 2023.

Se aprecia además una innovación en la forma de ataque, ya que los ciber actores están utilizando activamente el modelo de negocio RaaS (Ransomware as a Service),  en donde a través de foros clandestinos en la Deep o DarkWeb se contratan servicios de ransomware, para crear distintas campañas contra organizaciones de su interés, en el cual los afiliados quienes distribuyen y participan en el proceso de infección reciben un porcentaje de las ganancias cuando la víctima accede a pagar por el rescate (práctica NO recomendada).

Es de esperar que este año y como ya se puede apreciar en los primeros 4 meses, tanto en Chile como en Latinoamérica, estaremos afectados activamente por ataques de esta naturaleza, lo importante es conocer en detalle la infraestructura propia de cada empresa u organización, a fin de reducir al máximo la superficie de ataque, corrigiendo a la brevedad, posibles vulnerabilidades en los distintos sistemas que componen la organización, también debemos aplicar todos los procedimientos de seguridad necesarios para evitar ser víctima de estos grupos de ciber actores organizados.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Realizar Backup (respaldo) de todos los sistemas que posea dentro de su organización.
• Bajo ningún motivo almacenar los Backup dentro del mismo servidor, equipo o red local.
• Comprobar que las copias de seguridad y los mecanismos de restauración funcionan.
• Asegúrese de que los productos integrados existentes de filtrado y detección, están habilitados y operando de manera correcta.
• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas"  (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices).
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
  • Considere usar una herramienta como Sparrow o Hawk, herramientas de código abierto basadas en PowerShell usadas para recopilar información relacionada con M365, para investigar y auditar intrusiones y posibles filtraciones.
  • Si su organización utiliza servicios en la nube, asegúrese de que el personal TI haya revisado e implementado controles de seguridad estrictos, como los que se indican a continuación:
  • Implemente políticas de acceso restrictivo, según las necesidades de su organización.
• Establezca una línea de base (Baseline) para la actividad normal de la red dentro de su entorno.
• Revise periódicamente los registros de inicio de sesión de Active Directory (AD) y los registros de auditoría unificados para detectar actividades anómalas.
• Implemente Multi Factor de Autenticación (MFA) para todos los usuarios, sin excepción.
• Hacer cumplir el uso del Multi Factor de Autenticación (MFA).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.