...
Los hackers más peligrosos

Los hackers más peligrosos de los que nunca has oído hablar.

Desde los capos de las criptomonedas hasta los estafadores sofisticados, estos son los grupos de piratas informáticos menos conocidos que debería tener en su radar.

Este escrito fue tomado de WIRED

[Inicializando]

Bandas de ransomware, estafadores por correo electrónico, espías patrocinados por estados: los grupos de hackers son de todo tipo. Hay algunos sobre los que escribimos bastante en WIRED, que gracias a una combinación de audacia, incompetencia o importancia geopolítica (o una combinación de las tres) acaparan la atención tras un robo o intrusión importante. Luego están los grupos que, en gran medida, logran mantenerse en la sombra.

Un grupo norcoreano especializado en robos de criptomonedas. Especialistas en sabotaje industrial de Irán. Estafadores de China que probablemente te hayan enviado uno o dos mensajes falsos. Extremistas de ransomware que acaban de pasar a la clandestinidad. Y espías. Tantos espías. Estas historias ponen de relieve a los grupos de hackers de los que no se oye hablar tan a menudo, porque suelen ser los que más preocupan.

Gamaredon: Los espías traidores que piratean implacablemente a Ucrania.

Durante la última década, este grupo de piratas informáticos del FSB, incluidos oficiales de inteligencia ucranianos “traidores”, ha utilizado una serie de campañas de intrusión para hacerles la vida imposible a sus antiguos compatriotas y defensores de la ciberseguridad.

Los piratas informáticos estatales rusos,Quizás más que los de cualquier otra nación, tienden a presumir. La infame unidad Gusano de Arena, dentro de la agencia de inteligencia militar rusa GRU, por ejemplo, ha provocado apagones sin precedentes y ha liberado código destructivo y autorreplicante. El ingenioso grupo Turla del FSB ha secuestrado conexiones de internet satelital para robar datos de las víctimas desde el espacio. Pero un equipo de ciberespías menos llamativos que trabaja para el Kremlin rara vez recibe la misma atención: Armagedón o Gamaredón.

Los hackers, que se cree trabajan al servicio de la agencia de inteligencia rusa FSB, no son conocidos por su sofisticación. Sin embargo, han acumulado más de una década de intrusiones casi constantes centradas en el espionaje, utilizando métodos de intrusión simples y repetitivos año tras año. Gracias a esa abrumadora cantidad de intentos de hackeo, representan, en cierto modo, la principal amenaza de espionaje que enfrenta Ucrania en medio de su guerra con Rusia, según los defensores de la ciberseguridad que rastrean al grupo.

“Son, por lejos, el grupo de hackers alineado con el estado más activo que ataca a organizaciones ucranianas”, afirma Robert Lipovsky, investigador de malware de la empresa de ciberseguridad eslovaca ESET.

ESET ha rastreado a Gamaredon mientras vulneraba las redes de cientos de víctimas en Ucrania, robando miles de archivos a diario, afirma Lipovsky. “Su funcionamiento es muy eficaz”, añade Lipovsky. “El volumen es su gran diferenciador, y eso es lo que los hace peligrosos”.

Si Gamaredon no se comporta como otros grupos de piratas informáticos rusos, es en parte porque algunos de ellos no son ciudadanos rusos (o no lo eran, técnicamente, hasta 2014).

Según el gobierno ucraniano, los hackers de Gamaredon tienen su base en Crimea, la península ucraniana que Rusia ocupó tras la revolución de Maidán. Algunos de ellos trabajaron anteriormente para los servicios de seguridad ucranianos antes de cambiar de bando al comenzar la ocupación rusa de Crimea.

AlphaFold 3 predice la estructura y las interacciones de todas las moléculas de la vida.

“Son oficiales del FSB ‘de Crimea’ y traidores que se unieron al enemigo”, se lee en una declaración de 2021 de la agencia de inteligencia ucraniana SBU , que alega que el grupo llevó a cabo más de 5.000 ataques contra sistemas ucranianos, incluyendo infraestructura crítica como “centrales eléctricas, sistemas de suministro de calor y agua”.

Las técnicas iniciales de acceso del grupo, según Lipovsky de ESET, consisten casi exclusivamente en ataques de phishing selectivo (enviando a las víctimas mensajes falsificados con archivos adjuntos cargados de malware), así como código malicioso que puede infectar unidades USB y propagarse de un equipo a otro. Estas tácticas relativamente básicas apenas han evolucionado desde que el grupo surgió como una amenaza dirigida a Ucrania a finales de 2013. Sin embargo, al insistir incansablemente en estas sencillas formas de hackeo y atacar a diario a prácticamente todos los gobiernos y organizaciones militares ucranianos, así como a sus aliados en Europa del Este, Gamaredon ha demostrado ser un adversario serio y a menudo subestimado.

“A veces la gente no se da cuenta del papel tan importante que juega la ‘persistencia’ en el término APT”, afirma John Hultquist, analista jefe del Grupo de Inteligencia de Amenazas de Google. “Son simplemente implacables. Y eso en sí mismo puede ser una especie de superpoder”.

En octubre de 2024, el gobierno ucraniano llegó incluso a condenar en ausencia a dos hackers de Gamaredon, no solo por delitos de piratería informática, sino también por traición. Un comunicado del SBU en aquel momento los acusó —ninguno de los cuales fue identificado— de haber “traicionado su juramento” al unirse voluntariamente al FSB.

Para los antiguos hackers de la SBU de Gamaredon, atacar a sus antiguos compatriotas podría no haberles proporcionado los beneficios que esperaban. Además del aparente esfuerzo de sus incesantes campañas de phishing, las comunicaciones telefónicas interceptadas entre miembros del grupo, publicadas por la SBU, parecen mostrarlos quejándose de sus bajos salarios y su falta de reconocimiento. “Deberían haberte dado una medalla”, le dice un miembro del equipo a otro en la conversación en ruso. “Te has vuelto a joder”.

Todo esto significa que Gamaredon representa un desafío dolorosamente aburrido para los defensores de la ciberseguridad, pero con riesgos tremendamente altos en el contexto de una guerra donde los secretos robados pueden significar la diferencia entre la vida y la muerte.

TraderTraitor: Los reyes del robo de criptomonedas

Presuntamente responsable del robo de 1.500 millones de dólares en criptomonedas de una única plataforma de intercambio, TraderTraitor de Corea del Norte es uno de los grupos de ciberdelincuencia más sofisticados del mundo.

El mayor robo de criptomonedas de la historia comenzó a gestarse. Los hackers tomaron el control de una billetera de criptomonedas perteneciente a Bybit, la segunda plataforma de intercambio de criptomonedas más grande del mundo, y robaron casi 1500 millones de dólares en tokens digitales. Rápidamente, intercambiaron el dinero entre docenas de billeteras y servicios de criptomonedas para intentar ocultar la actividad, antes de proceder a retirar los fondos robados .

El impactante asalto digital tenía todas las características de haber sido llevado a cabo por uno de los subgrupos de élite de hackers norcoreanos. Si bien Bybit se mantuvo solvente gracias al préstamo de criptomonedas y lanzó un plan de recompensas para rastrear los fondos robados, el FBI rápidamente culpó a los hackers norcoreanos conocidos como TraderTraitor.

Antes del robo de Bybit, TraderTraitor ya había sido vinculado a otros robos de criptomonedas de alto perfil y violaciones del software de la cadena de suministro.

“Estábamos esperando el próximo gran suceso”, afirma Michael Barnhart, investigador de ciberseguridad con amplia experiencia en Corea del Norte e investigador de la firma de seguridad DTEX Systems. “No se fueron. No intentaron detenerse. Estaban claramente conspirando y planeando, y lo están haciendo ahora mismo”, añade.

Los hackers norcoreanos , junto con los de China, Rusia e Irán, se consideran constantemente una de las ciberamenazas más sofisticadas y peligrosas para las democracias occidentales. Si bien todos estos países se dedican al espionaje y al robo de datos confidenciales, las operaciones cibernéticas norcoreanas tienen sus propios objetivos: ayudar a financiar los 
programas nucleares del reino ermitaño . Cada vez más, esto implica robar criptomonedas.

“Si ahora mismo entraras en algún sitio web de freelancers y dijeras que eres una startup de criptomonedas completamente nueva y buscas desarrolladores antes de que acabe el día, tendrías a norcoreanos en tu bandeja de entrada”, afirma Barnhart, investigador de DTEX Systems. Añade que algunos hackers norcoreanos pueden rebotar entre los diferentes grupos del país, y que también podrían colaborar con o junto con sus trabajadores de TI. Podría haber más solapamiento de lo que se pensaba, añade Barnhart.

Cuando atribuimos este [hackeo] a TraderTraitor, ¿no hubo nadie más involucrado? ¿Participó alguien más?

Black Basta: La banda de ransomware caída que sigue viva

Tras una serie de reveses, la infame banda de ransomware Black Basta pasó a la clandestinidad. Los investigadores se preparan para su probable regreso con una nueva forma.

El panorama de las bandas de ransomware está en constante cambio y evolución. Los grupos más agresivos e imprudentes obtienen grandes pagos de objetivos vulnerables, pero a menudo acaban desapareciendo. El grupo rusoparlante Black Basta es el ejemplo más reciente de cómo esta tendencia se ha estancado en los últimos meses debido a las acciones de las fuerzas del orden y a una filtración perjudicial. Sin embargo, tras unas semanas de calma, los investigadores advierten que, lejos de estar completamente extintos, los actores involucrados en Black Basta resurgirán en otros grupos cibercriminales —o posiblemente ya lo hayan hecho— para reiniciar el ciclo.

Desde su aparición en abril de 2022, Black Basta ha generado cientos de millones de dólares en pagos dirigidos a diversas víctimas corporativas en los sectores de la salud, infraestructuras críticas y otros sectores de alto riesgo. El grupo utiliza una doble extorsión para presionar a sus objetivos a pagar un rescate: roba datos y amenaza con filtrarlos, a la vez que cifra los sistemas de la víctima para mantenerla como rehén. La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. advirtió el año pasado que Black Basta había perpetrado una ola de ataques contra más de 500 organizaciones en Norteamérica, Europa y Australia.

Sin embargo, un importante 
desmantelamiento internacional de la botnet “Qakbot” en 2023 obstaculizó las operaciones de Black Basta. Y, en febrero, 
una importante filtración de datos internos del grupo , incluyendo registros de chat e información operativa, lo sacudió. Desde entonces, ha permanecido inactivo. Sin embargo, los investigadores advierten que los criminales detrás de Black Basta ya están en movimiento y es casi seguro que resurgirán.

Sin embargo, Black Basta tuvo dificultades para mantener su impulso después del derribo de Qakbot en 2023, conocido como Operación Duck Hunt.

“No hemos visto a los líderes de Black Basta reagruparse, pero seguirán trabajando, seguirán operando”, dice Liska de Recorded Future. “Aún hay demasiado dinero en juego como para no hacerlo. Y los actores del ransomware son criaturas de hábitos, como cualquiera”.

Bohuslavskiy de RedSense agrega que ya ha visto señales de que miembros de Black Basta están apareciendo en otras pandillas activas, incluidas “BlackSuit”, “INC”, “Lynx”, “Cactus” y “Nokoyawa”.

“Ahora que Black Basta terminó, mucha gente ha migrado y hay varios otros grupos de ransomware que están recibiendo infusiones de talento de Black Basta”, dice Bohuslavskiy.

CyberAv3ngers: Los saboteadores iraníes que piratean sistemas de agua y gas en todo el mundo

A pesar de su fachada hacktivista, CyberAv3ngers es un raro grupo de hackers patrocinado por un Estado decidido a poner en riesgo la infraestructura industrial y que ya ha provocado trastornos globales.

La ciberguerra intermitenteEl conflicto entre Israel e Irán, que se remonta al papel de Israel en la creación y el despliegue del malware Stuxnet que saboteó el programa de armas nucleares iraní , ha sido quizás el más prolongado en la era del hackeo estatal. Sin embargo, desde el ataque de Hamás del 7 de octubre y la invasión israelí de Gaza como represalia, un nuevo actor en ese conflicto amenaza no solo la infraestructura digital de Israel, sino también sistemas críticos en Estados Unidos y en todo el mundo.

El grupo conocido como CyberAv3ngers ha demostrado, en el último año y medio, ser el grupo de hackers más activo del gobierno iraní, centrado en sistemas de control industrial. Sus objetivos incluyen agua, aguas residuales, petróleo y gas, y muchos otros tipos de infraestructuras críticas. A pesar de estar dirigido por miembros del Cuerpo de la Guardia Revolucionaria de Irán, según funcionarios estadounidenses que han ofrecido una recompensa de 10 millones de dólares por información que conduzca a su arresto, el grupo inicialmente asumió la apariencia de una campaña “hacktivista”.

“Se hacen pasar por hacktivistas, pero en realidad no lo son. Este es un grupo financiado por el Estado. Cuentan con financiación y herramientas”, afirma Kyle O’Meara, investigador de inteligencia de amenazas de la firma de ciberseguridad de sistemas de control industrial Dragos, que rastrea al grupo bajo el nombre de Bauxite. “Sin duda, tienen la capacidad, la intención y el interés de aprender a desactivar sistemas y potencialmente causar daños”.

En diciembre pasado, Claroty 
reveló que CyberAv3ngers había infectado una amplia variedad de sistemas de control industrial y dispositivos del Internet de las Cosas (IdC) en todo el mundo mediante un malware desarrollado por ella. La herramienta, a la que Claroty llama IOControl, era una puerta trasera basada en Linux que ocultaba sus comunicaciones en un protocolo conocido como MQTT.

No está claro qué esperaba exactamente el grupo —quizás un momento estratégico en el que el gobierno iraní pudiera obtener una ventaja geopolítica al causar una disrupción digital generalizada—. Pero las acciones del grupo sugieren que ya no busca simplemente enviar un mensaje de protesta contra las acciones militares israelíes. En cambio, argumenta Moshe, busca obtener la capacidad de interrumpir la infraestructura extranjera a voluntad.

“Esto es como un botón rojo en su escritorio. Quieren, en cualquier momento, poder atacar a muchos segmentos, industrias y organizaciones diferentes, como les plazca”, dice. “Y no van a desaparecer”.

Tifón de latón: el grupo de hackers chinos que acecha en las sombras

Aunque es menos conocido que grupos como Volt Typhoon y Salt Typhoon, Brass Typhoon, o APT 41, es un infame y veterano actor de espionaje que anticipó recientes ataques a las telecomunicaciones.

Mientras China continúaEn su estrategia digital global, los investigadores advierten que la actividad de piratería informática de grupos con larga trayectoria está evolucionando y fusionándose. Además, los atacantes ocultan sus campañas con mayor eficacia y difuminan la línea entre los ciberdelincuentes y la piratería informática respaldada por Estados.

El año pasado, el gobierno federal de Estados Unidos se vio sacudido por las revelaciones de que el grupo de hackers chino conocido como “Salt Typhoon” había vulnerado al menos nueve importantes empresas de telecomunicaciones estadounidenses. Y la ofensiva del grupo continuó este año en Estados Unidos y otros países. Mientras tanto, el grupo de hackers “Volt Typhoon”, vinculado a Pekín, ha seguido acechando infraestructuras y servicios públicos críticos estadounidenses en todo el mundo. Mientras tanto, el sindicato conocido como Brass Typhoon, también conocido como APT 41 o Barium, ha estado operando en la sombra.

El grupo, al que los investigadores han estado rastreando desde aproximadamente 2012, ha continuado discretamente sus 
amplios ataques en todo el mundo durante el último año. Brass Typhoon ha tendido una red extensa, lo que ha llevado a los investigadores a considerarlo una especie de coalición amplia que ha atacado todo, desde una 
aplicación ganadera estadounidense hasta código fuente y diseños de chips de la industria taiwanesa de semiconductores, e incluso redes eléctricas.

Brass Typhoon es conocido por haber llevado a cabo una notable serie de ataques a la cadena de suministro de software a finales de la década de 2010 y por descarados ataques a las telecomunicaciones en la misma época, en los que el grupo atacó específicamente los registros de llamadas. La banda también es conocida por su actividad híbrida.

Tríada del smishing: el grupo estafador que roba las riquezas del mundo

Cada mes se envían millones de mensajes de texto fraudulentos. Los ciberdelincuentes chinos responsables de muchos de ellos están expandiendo sus operaciones e innovando rápidamente.

El texto de la estafaLos mensajes siguen un patrón similar: dicen que debe pagar una tarifa de peaje pendiente o que un paquete no se puede entregar correctamente. “El paquete de USPS llegó al almacén, pero no se pudo entregar debido a que la información de la dirección estaba incompleta”, dice un mensaje típico.

Un enlace en el mensaje apunta a un sitio web realista donde se le solicita ingresar más detalles y realizar un pequeño pago, mientras que detrás de escena, los cibercriminales obtienen su información y los dígitos de su tarjeta de crédito en tiempo real.

Estos mensajes provienen de un grupo prolífico de cibercriminales vagamente vinculados: los sindicatos de “smishing” .

En los últimos tres años, estos estafadores de habla china han desarrollado y operado la operación de smishing más importante del mundo, enviando spam a millones de personas con mensajes de texto y probablemente robando millones de dólares en el proceso. El término “smishing” es una combinación de SMS y 
correos electrónicos de phishing que intentan engañar a las personas para que proporcionen información personal. Sin embargo, los mensajes de texto añaden un toque de urgencia y pueden pillar a las personas desprevenidas en medio de su ajetreada jornada.

“Han convertido efectivamente la billetera digital moderna, como Apple Pay o Google Wallet, en el mejor dispositivo de clonación de tarjetas que hemos inventado jamás”, afirma Merrill.

En grupos de Telegram vinculados a las organizaciones cibercriminales, algunos miembros comparten fotos y videos de tarjetas bancarias añadidas a billeteras digitales en iPhones y Android. Por ejemplo, en un video, los estafadores supuestamente muestran docenas de tarjetas virtuales añadidas a sus teléfonos.

Merrill dice que los delincuentes pueden no realizar pagos inmediatamente usando las tarjetas que han agregado a sus billeteras digitales, pero probablemente no tomará mucho tiempo.

El gigantesco ecosistema de estafas se sustenta en parte en servicios comerciales clandestinos de estafa. 
Los hallazgos de la firma de seguridad Resecurity , que ha rastreado a la Tríada del Smishing durante más de dos años, indican que el grupo ha estado utilizando servicios de envío masivo de SMS y mensajes a medida que ha aumentado el número de mensajes que envía.

Loveland afirma que existen diversas maneras de limitar la efectividad de las operaciones de smishing. Por ejemplo, los registradores de dominios podrían mejorar la detección de sitios web fraudulentos, y un mejor filtrado de spam en los mensajes ayudaría a las posibles víctimas. Además, las fuerzas del orden podrían vigilar las plataformas y sistemas que utilizan para crear cuentas y enviar mensajes.

Dificultar el funcionamiento exitoso de los grupos de smishing podría reducir las ganancias y tener un efecto de enfriamiento sobre el creciente ecosistema criminal, afirma Loveland.

“Los delincuentes tienen una cadena de suministro, y no es necesario atacar todos los componentes de la misma”, afirma. “Se pueden atacar los cuellos de botella en la cadena de suministro”.

Leave a Reply

Your email address will not be published. Required fields are marked *

Trending now

35 herramientas de inteligencia artificial que puedes probar gratis
35 herramientas de inteligencia artificial que puedes probar gratis
Personal Safety
En la ciudad, la seguridad personal comienza con su teléfono inteligente
Los hackers más peligrosos
Los hackers más peligrosos de los que nunca has oído hablar.
Cómo funcionan ChatGPT y otros LLM-kointe
Cómo funcionan ChatGPT y otros LLM y hacia dónde podrían ir a continuación
Seraphinite AcceleratorOptimized by Seraphinite Accelerator
Turns on site high speed to be attractive for people and search engines.