Un informe del Equipo de Investigación y Análisis Global de Kaspersky reveló que el grupo hacktivista Guacamaya está formada por actores de amenaza latinoamericanos y, aunque su objetivo inicial era la defensa del medio ambiente, ahora se están volcando a realizar ataques al gobierno y organismos militares.
Para realizar sus ataques, aprovechan las vulnerabilidades en servidores de correo electrónico para conseguir información confidencial, para luego exponer a sus victimas en la prensa y generar una crisis de reputación. Para poder protegerse de esto, las organizaciones deben mantener sus servidores actualizados.
El termino hacktivismo se emplea para definir a los ciberdelincuentes que realizan ataques por causas políticas o sociales. Algunos casos reconocidos de estos grupos son: Anonymous (2010-2015), que abogaba por la libertad digital; LulzSec (2010-2011), que sólo buscaba fama; y recientemente LAPSU$, que tiene una motivación financiera. Si bien muchos de estos hacktivistas afirman que realizan estos ataques «por un bien mayor», sus acciones siguen siendo ilegales y algunos grupos utilizan este mantra como pretexto para llevar a cabo fines maliciosos, y Guacamaya no es la excepción.
Los objetivos del grupo se encuentran principalmente en Brasil, Chile, Colombia, Ecuador, Perú, Guatemala, México y Venezuela. Al principio atacaban sectores de minería, petróleo y gas, pero ahora están atacando organizaciones militares y gobiernos en Latinoamérica.
«Después de extraer todos los correos electrónicos, el grupo comienza a evaluar qué mensajes tienen el potencial de generar daños a la reputación de las víctimas. El siguiente paso es publicar todo en Internet y avisar a la prensa de la filtración con el fin de que el ataque adquiera visibilidad pública. Esta exposición y las posteriores crisis que genera para las organizaciones afectadas es el verdadero daño de los ataques hacktivistas», explica Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.
El informe de inteligencia de amenazas de Kaspersky revela que las vulnerabilidades explotadas por Guacamaya en sus ataques se identificaron en febrero de 2021 y que luego se corrigieron en septiembre de ese mismo año. Sin embargo, este año los ataques del grupo se intensificaron, lo que comprueba que las organizaciones no están preparadas en lo que respecta a ciberseguridad. Además, existen otras vulnerabilidades en los servidores de correo electrónico (Exchange), denominadas “ProxyNotShell” (CVE-2022-41040 y CVE-2022-41082), pero no hay evidencia de que Guacamaya las esté explotando.
Un estudio reciente del Equipo Global de Respuesta a Emergencias de Kaspersky confirmó que el 53.6% de los ciberataques comienzan con la explotación de vulnerabilidades, seguidos por el uso de cuentas comprometidas (a las que se les han robado credenciales) con un 17.9% y el uso de correos electrónicos maliciosos (para la instalación de malware o el robo de credenciales) con un 14.3%. También muestra que en el 40% de los ataques se utilizan herramientas legítimas, lo que resalta una nueva tendencia en la que el uso de malware se produce sólo en las etapas finales del ataque. En el caso de Guacamaya, el malware se utiliza para robar (exfiltrar) datos confidenciales.
«En palabras más simples, nuestros hallazgos muestran que las empresas, al no actualizar sus sistemas, dejan las puertas abiertas para que entren los ciberdelincuentes. Para evitar estos ataques, basta con aplicar las correcciones necesarias que, en este caso, están disponibles desde hace más de un año. A pesar de comprender la criticidad que representan los correos electrónicos para nuestra vida digital actual y la dificultad de aplicar correcciones en este entorno, este es el único método y la manera más efectiva para prevenir estos ataques. Reitero que es esencial que las empresas y los gobiernos mantengan actualizados los servidores de Exchange, ya que nada impide que los delincuentes sigan utilizando este mecanismo de acceso”, destaca Eduardo Chavarro, miembro del Equipo Global de Respuesta a Incidentes para América Latina en Kaspersky.