Al menos 34 grupos distintos de
ciberdelincuencia de habla rusa que utilizan malware de robo de información
como Raccoon y Redline han robado colectivamente 50,350,000 contraseñas de
cuentas de más de 896,000 infecciones individuales entre enero y julio de 2022.
Las credenciales robadas eran de
billeteras de criptomonedas, cuentas Steam, Roblox, Amazon y PayPal, así como
registros de tarjetas de pago.
Según un informe de Group-IB, cuyos
analistas han estado rastreando estas operaciones a nivel mundial, la mayoría
de las víctimas se encuentran en los Estados Unidos, Alemania, India, Brasil e
Indonesia. Sin embargo, las operaciones maliciosas se dirigieron a 111 países.
El auge de
los ladrones de información
En 2022, la distribución de malware
para robar información alcanzó niveles sin precedentes y ahora involucra a
hackers poco calificados que aspiran a obtener mayores ganancias de sus
actividades ilegales.
Group-IB dice que los
ciberdelincuentes que impulsan el crecimiento del despliegue de ladrones de información
son estafadores de bajo nivel que anteriormente trabajaron como
«llamadores de víctimas» en campañas de phishing conocidas como
«Classiscam».
Actualmente, hay 34 grupos activos de
ciberdelincuentes en Telegram que operan como pandillas de robo de información
a gran escala, cada uno con aproximadamente 200 miembros.
23 de los grupos usan el malware
Redline, ocho emplean Raccoon y tres usan su propio malware personalizado.
SEKOIA también señaló a principios de
esta semana que otro ladrón de información llamado ‘Aurora’ está ganando
terreno en los foros clandestinos y ya ha sido adoptado por siete grupos de
amenazas prominentes.
El aumento en la actividad de
ladrones de información se muestra en las estadísticas compiladas por el
informe de Group-IB. El informe comparó un período de 10 meses en 2021 con un
período de siete meses en 2022.
- Contraseñas robadas: 50,352,518 (un
80% más) - Archivos de cookies extraídos:
2,117,626,523 (un 74% más) - Billeteras de criptomonedas
hackeadas: 113,204 (un aumento del 216%) - Tarjetas de pago comprometidas:
103,150 (hasta un 81% más)
Group-IB también señaló que en los
primeros siete meses de este año los ciberdelincuentes se concentraron en robar
cuentas de Steam, Epic Games y Roblox, registrando un aumento de cinco veces en
comparación con el año pasado.
Operaciones
basadas en Telegram
Telegram juega un papel vital en el
funcionamiento de estas ciberpandillas, tanto en la organización de sus
campañas como en el mantenimiento de una estructura funcional que se adapte a
sus actividades de robo de datos.
Estos canales privados de Telegram ofrecen
soporte y orientación técnica a los operativos. Además, pueden servir como
puntos de filtración de datos, alojar anuncios importantes, actuar como
portales de informes de errores y también cuentan con bots que pueden generar
compilaciones de malware personalizadas para los clientes las 24 horas del día,
los 7 días de la semana.
Los grupos aún se rigen por reglas
jerárquicas, con los «administradores» sentados en la parte superior
del rango, vendiendo acceso a malware para robar información a los «trabajadores»
por unos pocos cientos de dólares al mes.
Los trabajadores son responsables de
dirigir el tráfico a los sitios que instalan malware, lo que hacen mediante el
uso de videos de YouTube, BlackSEO, envenenamiento de SEO, archivos torrent enlazados o publicaciones maliciosas en las redes
sociales.
Contramedidas
Para evitar ser víctima de esta
campaña de malware de robo de contraseñas y otros ataques cibernéticos, te
recomendamos que evites descargar software de fuentes sospechosas o desconocidas, verificar todos los
ejecutables descargados con una solución antivirus antes de abrirlos y mantener
tu sistema actualizado. Además, debes evitar guardar contraseñas en tu
navegador y asegúrate de borrar las cookies regularmente.
Otros pasos para evitar el acceso no
autorizado a las cuentas incluyen el uso de la autenticación multifactor, para
que, en caso de robo de una contraseña, sea mucho más difícil para un
ciberdelincuente usar la cuenta.
Finalmente, debes evitar usar la misma contraseña en varias cuentas,
especialmente si se trata de una
contraseña débil o de uso común.
Cómo generar contraseñas aleatorias con este script de Bash