¿Sabes el origen y la forma de operar del grupo de hackers Guacamaya?

La empresa de ciberseguridad y privacidad Kaspersky afirmó que hay un alto grado de certeza de que el autodenominado grupo hacktivista Guacamaya es latinoamericano y cuya agenda inicial se enfocó en la defensa del medio ambiente, pero luego pasó a atacar gobiernos y organismos militares.

Lo anterior, de acuerdo con un informe de su Equipo de Investigación y Análisis Global (GReAT), pues la mayoría de las víctimas de hackeo están presentes en la región del mundo.

Inicialmente, refirió que el término hacktivismo se utiliza para grupos de delincuentes que, a través de ciberataques, realizan un activismo político o social en defensa de una causa.

Lee: México tiene casi 300 ataques de software malicioso por minuto y ocupa el segundo lugar en América Latina, reporta Kaspersky

Señaló que el nombre Guacamaya tiene origen maya y significa “guacamayo” o “loro de pico grueso”, animales que se encuentran en varios países de América Latina, lo que da un indicio del origen del grupo.

Además, subrayó, los mensajes que este grupo publica están en español y utilizan palabras propias del vocabulario de las comunidades indígenas latinoamericanas, y debido a que la mayoría de las víctimas están presentes en la región, existe un alto grado de certeza de que se trata de un grupo de la región.

Indicó que para sus ataques, Guacamaya aprovecha vulnerabilidades en servidores de correo electrónico para obtener información confidencial, exponer a sus víctimas en la prensa y crear crisis de reputación.

Recordó que en la última década se han registrado ataques de tales grupos, como: Anonymous (2010-2015), que abogaba por la libertad digital; LulzSec (2010-2011), que sólo buscaba fama; y recientemente LAPSU$, que tiene una motivación financiera.

Si bien muchos de estos hacktivistas afirman que realizan estos ataques “por un bien mayor”, sus acciones siguen siendo ilegales y algunos grupos utilizan este mantra como pretexto para llevar a cabo fines maliciosos, y Guacamaya no es la excepción, apuntó.

Kaspersky detalló que Guacamaya aprovecha las vulnerabilidades de los servidores de correo electrónico (Microsoft Exchange) para entrar en la red de la víctima -conocidas como ProxyShell/ProxyLogon (CVE-2021-34473, CVE-2021-31206, CVE-2021-34523 y CVE-2021-31207) y Zimbra (CVE 2022-27925)-.

Posteriormente, añadió, crea puertas traseras para tener acceso permanente a la red comprometida y usa herramientas legítimas para robar credenciales o elevar los privilegios de acceso de usuario. Así, los delincuentes obtienen acceso a todas las cuentas de correo electrónico de la organización infectada y a la información sensible que contienen.

Lee: En 2023 predominarán los ataques destructivos, hackeos con drones y una ciberepidemia: Kaspersky

Mencionó que los objetivos del grupo están presentes sobre todo en México, Brasil, Chile, Colombia, Ecuador, Perú, Guatemala y Venezuela, y aunque inicialmente atacó a los sectores de minería, petróleo y gas, últimamente lo hace a organizaciones militares y gobiernos en toda América Latina.

“Después de extraer todos los correos electrónicos, el grupo comienza a evaluar qué mensajes tienen el potencial de generar daños a la reputación de las víctimas. El siguiente paso es publicar todo en Internet y avisar a la prensa de la filtración con el fin de que el ataque adquiera visibilidad pública. Esta exposición y las posteriores crisis que genera para las organizaciones afectadas es el verdadero daño de los ataques hacktivistas”, explicó Leandro Cuozzo, analista de Seguridad para América Latina en Kaspersky.

Según el informe de inteligencia de amenazas de Kaspersky, las vulnerabilidades explotadas por Guacamaya en sus ataques se identificaron en febrero de 2021 y que luego se corrigieron en septiembre de ese mismo año.

No obstante, apuntó, las actividades maliciosas del grupo se intensificaron en 2022, lo que indica que las organizaciones no aplicando los parches de seguridad en sus sistemas, lo que les habría permitido evitar los incidentes reportados este año.

Los expertos de Kaspersky también han identificado otros grupos criminales que explotan estas mismas vulnerabilidades, lo que significa que una víctima puede ser atacada por dos o más grupos a la vez.

Refirió que según su estudio del Equipo Global de Respuesta a Emergencias (GERT), en 40 por ciento de los ataques se utilizan herramientas legítimas, lo que resalta una nueva tendencia en la que el uso de malware se produce sólo en las etapas finales del ataque, y que en el caso de Guacamaya, el malware se utiliza para robar (exfiltrar) datos confidenciales.

“En palabras más simples, nuestros hallazgos muestran que las empresas, al no actualizar sus sistemas, dejan las puertas abiertas para que entren los ciberdelincuentes”, planteó.

Kaspersky resaltó que para evitar estos ataques, basta con aplicar las correcciones necesarias que, en este caso, están disponibles desde hace más de un año.

Es esencial que las empresas y los gobiernos mantengan actualizados los servidores de Exchange, ya que nada impide que los delincuentes sigan utilizando este mecanismo de acceso”, dijo Eduardo Chavarro, miembro del Equipo Global de Respuesta a Incidentes para América Latina en Kaspersky.

Lee: Los ciberataques afectan la supervivencia de un tercio de Pymes en América Latina: Kaspersky

Lee más de Cobertura 360

Negocios

Refinería de Dos Bocas se construyó con acero del NAIM

Seguridad

Sedena ofrece servicios de guardaespaldas y transporte aéreo

Seguridad

Sedena incauta en Durango avioneta con 300 kilos de cocaína

Seguridad

Sedena cobra por apoyar en labores de seguridad pública