Según el informe “Hi-Tech Crime Trends” de Group-IB, durante 2023, el número de ataques de ransomware aumentó cerca de un 52% en Europa, dirigiéndose principalmente contra empresas pertenecientes a los sectores manufacturero, inmobiliario y de transporte. Reino Unido, Francia y Alemania mantuvieron su estatus como países más atacados por agrupaciones de Ransomware como Servicio (RaaS, por sus siglas en inglés). España fue el quinto país más atacado.
A lo largo de 2023, la región sufrió 108 ciberataques perpetrados por grupos de hackers patrocinados por Estados. Las instituciones gubernamentales y militares destacaron como objetivos más importantes, con 48 incidentes contra ellas.
Índice de temas
Cómo actúan los information stealers
Los programas maliciosos conocidos como ladrones de información (information stealers) representaron un problema significativo en Europa, al infectar 250.000 sistemas (un 23% más que en 2022) y 647.485 hosts (un 28% más que el año anterior). A destacar, la venta de los registros sustraídos de estos dispositivos, los primeros en Nubes Subterráneas de Registros (UCLs, por sus siglas en inglés) y los segundos (procedentes de hosts) en mercados clandestinos.
Paralelamente, el informe evidencia un descenso del 7% en el número de ofertas de venta de acceso inicial a redes comprometidas en la región. Además, algo más de un millón de tarjetas comprometidas registradas en Europa aparecieron en el mercado oculto del cibercrimen en 2023; sin variación con respecto a 2022.
Europa en el punto de mira
Los investigadores de Group-IB descubrieron que la región europea fue el segundo escenario mundial de Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés) el año pasado. En total, Group-IB atribuyó 523 ataques a actores Estado-nación en todo el mundo en 2023.
Los ataques a organizaciones europeas representaron el 21% del total mundial. Europa sufrió 108 ciberataques perpetrados por diversos grupos de hackers patrocinados por Estados. Las agrupaciones más destacadas que operaron en Europa fueron Lazarus, Mustang Panda, APT41 y Sandman (todos ellos de Asia Oriental), junto con APT28, BlackEnergy, Gamaredon, Turla y Callisto (en la región de la Comunidad de Estados Independientes (CEI)). Los ataques fueron complejos y selectivos, lo que subraya la creciente tendencia a utilizar el ciberespacio para lograr objetivos relacionados con el gobierno.
Con 31 incidentes registrados, Ucrania fue la víctima fundamental de los ataques procedentes de Estado-nación, lo que probablemente refleja los actuales conflictos políticos en la región. Los otros cuatro países europeos más afectados por grupos de APTs fueron Polonia (11 ataques), Alemania, Francia e Italia, con 6 ataques cada uno.
Los organismos gubernamentales y militares de Europa, con 48 ataques, representaron los sectores de mayor interés para los grupos de APTs. Esto demuestra que las agrupaciones patrocinadas por Estados están especialmente interesadas en áreas que influyen en la seguridad nacional y en la política exterior.
Informe detallado: Crónicas del ransomware, doble crecimiento en 2023
Con un prodigioso liderazgo tanto en escala como en impacto, el ransomware siguió constituyendo una amenaza significativa para el mercado europeo. Una vez más, el continente se convirtió en la segunda región más atacada a nivel mundial después de Norteamérica, con 1.186 empresas cuya información fue publicada en Sitios de Filtración de Datos (DLS, por sus siglas en inglés) de ransomware. Esto se traduce en un incremento aproximado del 52% respecto al año anterior, cuando la información perteneciente a 781 empresas víctimas de Europa apareció en los DLS.
En 2023, el sector manufacturero fue el más golpeado en Europa, acaparando el 16% de todas las empresas víctima cuyos datos fueron divulgados en los DLS. La industria inmobiliaria figuró en segundo lugar, al recibir el 8% de todos los ataques de la región. En tercera posición se situó el sector del transporte, al ser objeto del 5% de los ataques.
Al respecto de los grupos de ransomware más activos en la región, LockBit lideró este ranking al ser el responsable del 26% de los ataques, seguido de Play con el 9%, y de Black Basta con el 7%. Otro dato significativo relativo a 2023 fue el incremento de las empresas con sede en el Reino Unido afectadas por ransomware, con un incremento aproximado del 73%, llegando a 245 compañías, lo que convierte al Reino Unido en el país más perjudicado de Europa, según los datos publicados en los DLS de ransomware.
Por su parte, Francia experimentó un aumento del 45%, con 149 entidades afectadas, mientras que Alemania tuvo una subida del 12%, con 145 organizaciones atacadas. España fue el quinto país más atacado, con 89 empresas afectadas.
Mercado bajista: la actividad de los intermediarios se ralentiza
Cómplices de ransomware que venden acceso inicial a redes corporativas en la internet oscura, conocidos como Brokers o Intermediarios de Acceso Inicial (IABs, por sus siglas en inglés), experimentaron una ligera desaceleración, adaptándose a las demandas de otros actores de amenazas en la región europea.
En 2023, el acceso a redes corporativas en Europa fue puesto a la venta en 628 ocasiones, un 7% menos que en 2022 (674 veces). Los 5 principales países europeos objetivo de los IABs fueron Reino Unido (111), Francia (83), España (70), Alemania (63) e Italia (62).
El sector de servicios profesionales fue la más afectada en 2023, con ofertas de acceso que se duplicaron en comparación con 2022, al totalizar 52 (el 8% de todas las ofertas dirigidas a la región). Le siguieron el sector manufacturero, con 44 ofertas (7% del total de las destinadas a la región), el de comercio y las compras, con 37 (6% de todas las enfocadas a la región) publicadas por los IABs.
La oferta de acceso VPN disminuyó un 50%, mientras que las cuentas RDP aumentaron un 34%. En cuanto al acceso con privilegios de usuario, las ofertas se elevaron un 35% en 2023, lo que indica una mayor diferenciación de acceso por parte de las empresas o una falta de competencias entre los IABs.
El IAB más activo en la región fue el actor de amenazas conocido como mazikeen, un nuevo agente, activo desde enero de 2023. De forma general, mazikeen vendió acceso a redes corporativas a través de cuentas de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) comprometidas (98%). Un tercio de las víctimas de mazikeen fueron empresas con sede en Europa. Casi todas las ofertas contenían información sobre el país, el sector, los privilegios de acceso, el nivel de acceso y los sistemas antivirus utilizados por la empresa.
Basándose en la actividad de mazikeen, los expertos de Group-IB pudieron concluir que el autor de la amenaza se comunicaba en ruso y se autoidentificaba como mujer, algo poco frecuente en la ciberdelincuencia clandestina. En los foros, mazikeen indicaba que no escaneaba las redes corporativas puestas a la venta y que no buscaba persistir en ellas. Los precios del intermediario eran de los más bajos, desde 30 dólares, cuando el valor medio alcanza los 180,20 dólares.
Raccoon y amigos robando cosas
Los registros de information stealers (ladrones de información) se han convertido en una de las principales formas que tienen los ciberdelincuentes de acceder a las redes de las empresas porque son sencillos, pero muy eficaces. Los “information stealers” son un tipo de malware que recopila credenciales guardadas en los navegadores, datos de tarjetas bancarias, información de criptocarteras, cookies, historial de navegación y otra información de los navegadores instalados en los ordenadores infectados.
Las Nubes Subterráneas de Registros (UCLs) gratuitas son una de las principales fuentes de datos sobre los hosts infectados. Las UCLs son servicios especiales que proporcionan acceso a información confidencial comprometida en su mayor parte obtenida por los ladrones de información. A diario se publican en estos servicios registros de datos por valor de gigabytes, y esa cifra sigue creciendo. En el último año, se ha producido un aumento del 23% en el número de hosts infectados únicos en Europa y cuyos registros se han publicado en UCLs, superando los 250.000.
España se situó a la cabeza con un crecimiento del 48% de hosts en UCLs (31.665), mientras que hace un año ocupaba la tercera posición. Le sigue en segundo lugar Francia, líder en 2022, con un descenso del 3% de hosts en UCLs, hasta los 25.873. Polonia cierra la lista de los tres países europeos más afectados, con un aumento del 6% (23.393). Dos países que registraron un crecimiento significativo en 2023 fueron Alemania (por encima del 32%, hasta los 22.966) e Italia (rebasando el 18%, hasta los 22.309).
En comparación con 2022, la lista de los tres ladrones de información más populares utilizados para comprometer hosts y cuyos registros se encontraron en UCLs varió ligeramente. Vidar, que en 2023 ocupaba el segundo lugar, bajó al cuarto puesto, cediendo su posición a МЕТА. Los tres principales ladrones que atacan a los usuarios en Europa son RedLine Stealer, META y Raccoon.
Los mercados clandestinos también fueron en ascenso. A diferencia de los UCLs, donde gran parte de los registros se distribuyen gratuitamente, los mercados clandestinos son utilizados para vender logs de hosts comprometidos por ladrones de información. En 2023, tuvo lugar un crecimiento del 28% en comparación con 2022, y el número total de hosts puestos a la venta y relacionados con Europa fue de 647.485.
Por primera vez, España se convirtió en el objetivo prioritario en función de los registros encontrados en los mercados clandestinos, con 73.788 logs detectados en 2023, lo que supone un aumento de más del 42% en comparación con el año anterior. Le siguen en esta clasificación Italia, con 72.138 logs, un 33% más, y Francia, con 69.026, lo que representa un incremento del 23%. Raccoon, LummaC2 y RedLine Stealer son los ladrones de información más populares entre los ciberdelincuentes que atacan la región.
Marea de filtraciones
En 2023 se detectaron 386 nuevos casos de filtración de datos de dominios públicos en Europa. Como parte de estos incidentes, más de 292.034.484 millones de cadenas con datos de usuarios resultaron comprometidas. Francia, España e Italia fueron los países más afectados, con 64, 62 y 52 casos de filtración de datos, respectivamente.
Las direcciones de correo electrónico, los números de teléfono y las contraseñas suponen el mayor riesgo, ya que pueden ser utilizados por agentes de amenazas para diversos tipos de ataques. De todos los datos filtrados en 2023, 140.642.816 entradas contenían direcciones de correo electrónico (de las cuales 96.590.836 eran únicas). Además, se detectaron 9.784.230 filtraciones de contraseñas (de las cuales 3.832.504 eran únicas) y 157.074.355 entradas con números de teléfono (de las cuales 95.728.584 eran únicas).
