Por estrategiaynegocios.net
El autodenominado grupo hacktivista Guacamaya, que inició con ataques a los gobiernos y organismos militares, ahora amplía sus ataques hacia empresas de la región.
Para sus ataques, aprovechan vulnerabilidades en servidores de correo electrónico para obtener información confidencial, exponer a sus víctimas en la prensa y crear crisis de reputación.
¿Cómo atacan?
Guacamaya aprovecha las vulnerabilidades del correo electrónico (Microsoft Exchange) para entrar en la red de la víctima - estas son conocidas como “ProxyShell/ProxyLogon” (CVE-2021-34473, CVE-2021-31206, CVE-2021-34523 y CVE-2021-31207) así como Zimbra (CVE 2022-27925). Posteriormente, crean puertas traseras a fin de tener acceso permanente a la red comprometida y utilizan herramientas legítimas para robar credenciales o elevar los privilegios de acceso de usuario. Así, los delincuentes obtienen acceso a todas las cuentas de correo electrónico de la organización infectada y a la información sensible que contienen.
Puede leer: Los ‘troyanos bancarios’ una amenaza cada vez más grande en Latinoamérica
¿Para qué?
“Después de extraer todos los correos electrónicos, el grupo comienza a evaluar qué mensajes tienen el potencial de generar daños a la reputación de las víctimas. El siguiente paso es publicar todo en Internet y avisar a la prensa de la filtración con el fin de que el ataque adquiera visibilidad pública. Esta exposición y las posteriores crisis que genera para las organizaciones afectadas es el verdadero daño de los ataques hacktivistas”, explica Leandro Cuozzo, analista de seguridad para América Latina en Kaspersky.
Los objetivos del grupo están presentes principalmente en Brasil, Chile, Colombia, Ecuador, Perú, Guatemala, México y Venezuela. Inicialmente, atacaron los sectores de minería, petróleo y gas, pero últimamente sus ataques se han extendido a organizaciones militares y gobiernos en toda América Latina.
En contexto: Troyanos bancarios: ¿cuál es el escenario en América Latina?
El informe de inteligencia de amenazas de Kaspersky muestra que las vulnerabilidades explotadas por Guacamaya en sus ataques se identificaron en febrero de 2021 y que luego se corrigieron en septiembre de ese mismo año. Sin embargo, las actividades maliciosas del grupo se intensificaron en 2022, lo que indica que las organizaciones no están aplicando los parches de seguridad en sus sistemas, lo que les habría permitido evitar los incidentes reportados este año.
¿Cómo protegerse?
Actualizar. “Nuestros hallazgos muestran que las empresas, al no actualizar sus sistemas, dejan las puertas abiertas para que entren los ciberdelincuentes. Para evitar estos ataques, basta con aplicar las correcciones necesarias que, en este caso, están disponibles desde hace más de un año. A pesar de comprender la criticidad que representan los correos electrónicos para nuestra vida digital actual y la dificultad de aplicar correcciones en este entorno, este es el único método y la manera más efectiva para prevenir estos ataques. Reitero que es esencial que las empresas y los gobiernos mantengan actualizados los servidores de Exchange, ya que nada impide que los delincuentes sigan utilizando este mecanismo de acceso”, destacó Eduardo Chavarro, miembro del Equipo Global de Respuesta a Incidentes para América Latina en Kaspersky.
El origen del nombre Guacamaya
El nombre Guacamaya tiene ascendencia maya y significa “guacamayo” o “loro de pico grueso”, animales que se encuentran en varios países de América Latina, lo que da un indicio del origen del grupo.
Además, los mensajes que este grupo publica están en español y utilizan palabras propias del vocabulario de las comunidades indígenas latinoamericanas.
Combinado con el hecho de que la mayoría de las víctimas están presentes en la región, Kaspersky puede afirmar con un alto grado de certeza que se trata de un grupo latinoamericano.
El grupo está formado por actores de amenaza latinoamericanos cuya agenda inicial se enfocó en la defensa del medio ambiente, pero posteriormente pasó a atacar gobiernos y organismos militares.
