En los últimos años, América Latina se ha convertido en un objetivo principal para algunos de los grupos de ransomware más peligrosos del mundo, incluidos ALPHV (también conocido como BlackCat), LockBit 2.0, y otros como BlackByte y BlackHunt. Estas organizaciones cibercriminales han causado estragos en la región, atacando tanto a instituciones gubernamentales como a empresas privadas. Los ataques han provocado interrupciones operativas importantes y han comprometido datos sensibles, lo que supone graves riesgos para la seguridad y la privacidad. A medida que estos grupos evolucionan y adaptan sus tácticas, la necesidad de medidas de ciberseguridad robustas se ha vuelto más urgente.

Este artículo ofrece un análisis detallado de las principales bandas de ransomware que atormentan a la región, su impacto y las estrategias de ciberseguridad necesarias para enfrentar esta creciente amenaza.

El ransomware en América Latina está en aumento, impulsado por grupos como ALPHV y LockBit 2.0, que emplean tácticas avanzadas para maximizar el impacto de sus ataques. La región requiere respuestas de ciberseguridad más sólidas y proactivas para mitigar estos ataques y proteger la información crítica de gobiernos e instituciones.

ALPHV/BlackCat: Un Nuevo Jugador con Tácticas Avanzadas

ALPHV, también conocido como BlackCat, es uno de los grupos de ransomware más sofisticados actualmente en activo. Surgido a finales de 2021, ALPHV ganó notoriedad rápidamente por su uso del lenguaje de programación Rust, que mejora la eficiencia de su ransomware y complica el trabajo de los investigadores de seguridad. Su modelo de negocio, Ransomware-as-a-Service (RaaS), ha permitido a afiliados utilizar su infraestructura a cambio de una parte de las ganancias, lo que ha ampliado su alcance.

En América Latina, ALPHV ha dirigido sus ataques principalmente a sectores como los servicios gubernamentales, la salud y la educación. El grupo es conocido por sus tácticas de doble extorsión, donde exfiltran datos antes de cifrar los sistemas. Esto significa que, incluso si las víctimas restauran sus datos desde copias de seguridad, aún enfrentan la amenaza de divulgación pública de información confidencial si no se paga el rescate.

Uno de los ataques más notables de ALPHV fue contra el Ejército de Ecuador en marzo de 2022, donde comprometieron sistemas críticos y exfiltraron datos sensibles, exigiendo un rescate de varios millones de dólares. Este incidente interrumpió operaciones militares y puso en riesgo la seguridad nacional al exponer información crítica. Otro ataque significativo ocurrió en Costa Rica, donde ALPHV apuntó a Price Smart, una importante cadena minorista, causando interrupciones en las operaciones de la empresa.

LockBit 2.0: Una Amenaza Persistente con Capacidades Avanzadas

LockBit 2.0 es otro grupo de ransomware prominente que ha tenido un impacto significativo en América Latina. Al igual que ALPHV, emplea tácticas sofisticadas para comprometer a sus objetivos, explotando vulnerabilidades en software como servidores VPN y servicios de Protocolo de Escritorio Remoto (RDP). LockBit 2.0 se distingue por ofrecer a sus afiliados un conjunto de herramientas fáciles de usar, lo que permite incluso a cibercriminales inexpertos ejecutar ataques efectivos.

En agosto de 2021, LockBit 2.0 atacó a Accenture en México, exfiltrando seis terabytes de datos y causando interrupciones en el servicio. Este ataque no solo afectó las operaciones, sino que también provocó repercusiones más amplias, incluida la pérdida de confianza de los clientes y posibles responsabilidades legales debido a la exposición de datos sensibles. Otro ataque de alto perfil ocurrió en enero de 2023 en el Aeropuerto Internacional de Querétaro en México, donde LockBit 2.0 interrumpió los servicios y exigió un rescate.

BlackByte y BlackHunt: Amenazas Emergentes en la Región

Mientras que ALPHV y LockBit 2.0 representan amenazas más establecidas, grupos emergentes como BlackByte y BlackHunt están comenzando a dejar su huella en América Latina. BlackByte es conocido por su infiltración agresiva de redes, exfiltración de datos valiosos y despliegue de ransomware para cifrar los datos restantes. En enero de 2023, BlackByte atacó a la Contraloría General de la República de Perú, exfiltrando una gran cantidad de datos y publicándolos parcialmente para demostrar la validez del ataque.

BlackHunt, otra variante emergente de ransomware, ha dirigido principalmente sus ataques a entidades gubernamentales y sectores clave. En enero de 2024, BlackHunt lanzó un ataque coordinado contra el Ministerio de Defensa de Paraguay, exfiltrando grandes volúmenes de datos y comprometiendo la seguridad nacional del país.

A medida que los grupos de ransomware como ALPHV, LockBit 2.0, BlackByte y BlackHunt continúan perfeccionando sus tácticas, la necesidad de medidas de ciberseguridad proactivas en América Latina es cada vez más evidente. Agencias como la CISA y el FBI han emitido recomendaciones específicas, como la implementación de estrategias de respaldo robustas, la actualización continua de sistemas y el uso de autenticación multifactor para minimizar riesgos.

Además, el sector privado ha desarrollado herramientas y servicios específicos para detectar y mitigar los ataques de ransomware. Las soluciones de detección y respuesta en puntos finales (EDR) y gestión de información y eventos de seguridad (SIEM) pueden identificar patrones de comportamiento asociados con estos grupos de ransomware. A esto se suma la importancia de capacitar regularmente al personal en ciberseguridad y mantener protocolos de respuesta a incidentes eficientes.

En resumen, la amenaza del ransomware en América Latina es cada vez más sofisticada, y las organizaciones deben priorizar la implementación de estrategias de defensa para proteger sus operaciones y datos críticos.

Te invitamos a descargar la investigación completa en el siguiente link: https://digitalcommons.fiu.edu/jgi_research/65/