En la actualidad el panorama de ciberatacantes es sumamente preocupante, ya que incluye desde novatos sin habilidades técnicas — pero con mucha iniciativa y ganas de aprender — , hasta grandes grupos cibercriminales con herramientas sofisticadas o países completos con ejércitos de cibersoldados.
¿Por qué es preocupante? Porque las noticias recientes demuestran un crecimiento exponencial en los ciberataques contra empresas, gobiernos, instituciones educativas, servicios de salud, infraestructura crítica, entre muchos otros sectores.
Además, hoy más que nunca, los ciberataques son más complejos, más rentables y más desconcertantes: Los Estados-nación a veces se asocian entre sí para un atacar objetivo común y, en ocasiones, trabajan en conjunto con grupos de ciberdelincuentes; cada vez surgen más grupos cibercriminales que se organizan como empresas para desarrollar ransomware y venderlo como servicio, incluyendo incluso un centro de soporte técnico para afiliados.
Pero ¿cuáles son los grupos cibercriminales más notorios en la actualidad? Si bien no están del todo identificados, se conoce información de algunos como:
- DarkSide: Desde su aparición inicial en agosto de 2020, los creadores del ransomware DarkSide y sus afiliados han lanzado una ola de delitos a nivel mundial que ha afectado a organizaciones en más de 15 países y múltiples industrias verticales. Como muchos de sus pares, estos ciberdelincuentes llevan a cabo una extorsión multifacética en la que los datos se exfiltran y cifran en su lugar, lo que les permite exigir el pago por el desbloqueo y la no divulgación de los datos robados para ejercer más presión sobre las víctimas. El ransomware DarkSide funciona bajo la modalidad de ransomware como servicio (RaaS), en el que las ganancias se comparten entre sus propietarios y socios, o afiliados, que brindan acceso a las organizaciones e implementan el ransomware. Estos grupos cibercriminales demostraron distintos niveles de sofisticación técnica a lo largo de las intrusiones. En este sentido, se han identificado múltiples víctimas de DarkSide, siendo que la mayoría de las organizaciones tenían su sede en los Estados Unidos y abarcan múltiples sectores, incluidos servicios financieros, legales, manufactura, servicios profesionales, comercio minorista y tecnología.
- Evil Corp (también conocido como Indrik Spider): Si bien Evil Corp obtuvo su nombre de la serie televisiva ‘Mr. Robot ‘, sus actividades son anteriores al programa de TV. Este grupo de habla rusa es el creador de uno de los troyanos bancarios más peligrosos jamás creado, Dridex, también conocido como Cridex o Bugat. El grupo atacó a Garmin en 2020 y a decenas de otras empresas. Los documentos judiciales muestran que Evil Corp utiliza un modelo de negocio de franquicia, dando acceso a Dridex a cambio de $100 mil dólares y el 50% de los ingresos. El FBI estima que el grupo robó al menos $100 millones de dólares en la última década.
- Fancy Bear (también conocido como APT28, Sofacy, Sednit, Strontium): Este grupo de habla rusa ha existido desde mediados de la década de 2000, dirigido a organizaciones gubernamentales y militares, así como a empresas de energía y medios de comunicación de Estados Unidos y Europa occidental. Sus víctimas incluyen los parlamentos alemán y noruego, la Casa Blanca, la OTAN y la estación de televisión francesa TV5. Fancy Bear es mejor conocido por irrumpir en el Comité Nacional Demócrata y la campaña de Hillary Clinton en 2016, supuestamente influyendo en el resultado de las elecciones presidenciales de Estados Unidos.
- Lazarus (también conocido como Hidden Cobra, Guardians of Peace, APT38, Whois Team, Zinc): Grupo asociado con Corea del Norte, Lazarus es conocido por quizás el mayor asalto cibernético de todos los tiempos: el ataque al Banco de Bangladesh, que llevó al robo de más de $100 millones de dólares en febrero de 2016. Lazarus ha estado detrás de numerosas operaciones en la última década, comenzando con ataques DDoS contra sitios web de Corea del Sur, luego atacando a las organizaciones financieras y la infraestructura de ese país, así como el ataque a Sony Pictures en 2014 y el lanzamiento del ransomware WannaCry en 2017. En los últimos años, Lazarus comenzó a explorar el ransomware, las criptomonedas y desarrolló habilidades de ingeniería social que pusieron en práctica durante la pandemia por COVID-19, cuando las empresas farmacéuticas, incluidos los fabricantes de vacunas, se convirtieron en algunos de sus objetivos.
UNC2452 (también conocido como Dark Halo, Nobelium, SilverFish, StellarParticle): En 2020, miles de organizaciones descargaron una actualización contaminada del software SolarWinds Orion, lo que le dio al atacante un punto de entrada a sus sistemas. El Pentágono, el gobierno del Reino Unido, el Parlamento Europeo y varias agencias gubernamentales y empresas de todo el mundo fueron víctimas de este ataque a la cadena de suministro. La operación de ciberespionaje había pasado desapercibida durante al menos nueve meses antes de ser descubierta el 8 de diciembre de 2020, cuando la empresa de seguridad, FireEye, anunció que fue víctima de un atacante patrocinado por un Estado-nación que robó varias de sus herramientas de “Red Team”. El ataque a la cadena de suministro del software SolarWinds Orion fue solo un canal de entrada utilizado por el atacante. Los investigadores encontraron otro ataque a la cadena de suministro, esta vez en los servicios en la nube de Microsoft. La NSA, el FBI y algunas otras agencias estadounidenses dijeron que la operación fue patrocinada por Rusia, por lo que Estados Unidos impuso sanciones. Sin embargo, el ataque probablemente haya sido obra del Servicio de Inteligencia Exterior de la Federación Rusa.
- LuckyMouse (también conocido como Emissary Panda, Iron Tiger, APT27): Este actor de habla china ha estado activo durante más de una década, apuntando a embajadas y organizaciones extranjeras en diferentes industrias, incluidas la aeroespacial, defensa, tecnología, energía, atención médica, educación y el gobierno. Ha realizado operaciones en América del Norte y del Sur, Europa, Asia y Oriente Medio. El grupo tiene altas habilidades en pruebas de penetración, generalmente utilizando herramientas disponibles públicamente, como Metasploit. Este miembro de los grupos cibercriminales puede actualizar y modificar sus herramientas rápidamente, lo que dificulta que los investigadores y las autoridades las detecten.
- Equation Group (también conocido como EQGRP, Housefly, Remsec): Equation Group, comenzó a operar a principios de la década de 2000, tal vez incluso antes. Sin embargo, fue conocido hasta 2015. Equation Group obtuvo su nombre porque utiliza un cifrado fuerte y métodos avanzados de ofuscación. Sus herramientas son muy sofisticadas y se han vinculado a la NSA. El grupo ha atacado organizaciones gubernamentales, militares y diplomáticas; instituciones financieras; y empresas que operan en telecomunicaciones, aeroespacial, energía, petróleo y gas, medios de comunicación y transporte. Muchas de sus víctimas tenían su base en Irán, Rusia, Pakistán, Afganistán, India, Siria y Mali. Una de las herramientas más poderosas de Equation Group es un módulo que puede reprogramar el firmware del disco duro de varios fabricantes, incluidos Seagate, Western Digital, Toshiba e IBM, para crear una bóveda de almacenamiento secreta que sobrevive al borrado y al formateo. Estas tecnologías de vanguardia terminaron en manos del grupo criminal Buckeye (Gothic Panda, APT3, UPS Team), que las utilizó en 2016 para atacar empresas en Europa y Asia.
- REvil (también conocido como Sodinokibi, Pinchy Spider): REvil, que toma su nombre de la serie de películas y videojuegos Resident Evil, ejecuta algunas de las operaciones de ransomware como servicio (RaaS) más prolíficas y tiene su sede en el mundo de habla rusa. El grupo fue visto por primera vez en abril de 2019. Entre sus víctimas se encuentran Acer, Honda, Travelex y los fabricantes del whisky Jack Daniels, Brown-Forman. Los desarrolladores actualizan periódicamente el ransomware REvil para evitar la detección de ataques en curso.
- Wizard Spider: El grupo de habla rusa se vio por primera vez en 2016, pero se ha vuelto cada vez más sofisticado en los últimos años, creando varias herramientas utilizadas para el ciberdelito. Al principio, Wizard Spider era conocido por su malware bancario de productos básicos TrickBot, pero luego expandió su conjunto de herramientas para incluir Ryuk, Conti y BazarLoader. La pandilla afina continuamente su arsenal para hacerlo más lucrativo. Wizard Spider calcula el rescate que solicita en función del valor de sus objetivos y ninguna industria parece estar fuera de sus límites. Durante la crisis de COVID-19, atacó a decenas de organizaciones de salud en Estados Unidos con Ryuk y Conti.
- Carbanak (también conocido como Anunak, Cobalt, FIN7): En 2013, varias instituciones financieras fueron vulneradas siguiendo el mismo patrón. El atacante envió correos electrónicos de spear-phishing tratando de penetrar en las organizaciones. Luego utilizó varias herramientas para llegar a las PC o servidores que podrían usarse para extraer datos o dinero. La banda de ciberdelincuentes responsable de estos ataques, Carbanak, llevó a cabo sus campañas de manera meticulosa, al igual que las APT, y a menudo pasaba meses dentro de los sistemas de una víctima sin ser notado. El grupo Carbanak probablemente tenga su sede en Ucrania, y entre sus objetivos se encuentran compañías financieras con sede principalmente en Rusia, Estados Unidos, Alemania y China. Una víctima perdió $7.3 millones debido al fraude en cajeros automáticos, mientras que a otra le quitaron $10 millones después de que su plataforma de banca en línea fuera atacada. A veces, el grupo ordenaba a los cajeros automáticos que distribuyeran efectivo en un momento predeterminado sin interacción humana en el lugar.
- Sandworm (también conocido como Telebots, Electrum, Voodoo Bear, Iron Viking): El grupo ruso de ciberespionaje Sandworm se ha relacionado con algunos de los incidentes más destructivos de la última década, incluidos los cortes de energía en Ucrania en 2015 y 2016; el ataque a la cadena de suministro NotPetya de 2017; los ataques contra los Juegos Olímpicos de Invierno de Pyeongchang de 2018, y las operaciones relacionadas con las elecciones en varios países, incluidos Estados Unidos, en 2016, Francia en 2017 y Georgia en 2019. En los últimos años, las tácticas, técnicas y procedimientos del grupo han cambiado para integrar ransomware.
- Winnti (también conocido como Barium, Double Dragon, Wicked Panda, APT41, Lead, Bronze Atlas): Winnti es probablemente un conjunto de subgrupos vinculados, con base en China, que han realizado tanto actividades delictivas cibernéticas como ataques patrocinados por el estado. Sus campañas de ciberespionaje se han dirigido a empresas de tecnología y atención médica, a menudo robando propiedad intelectual. Mientras tanto, su brazo de delitos cibernéticos con motivaciones financieras atacó la industria de los videojuegos, manipuló la moneda virtual e intentó implementar ransomware. Se ha observado que Winnti utiliza docenas de familias de códigos y herramientas diferentes, y a menudo se basa en correos electrónicos de spear-phishing para penetrar en una organización.
Por Víctor Ruiz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000