José ZegarraGroup-IB revela las tendencias cibernéticas: España, primer país europeo afectado por los Information Stealers y el segundo por filtraciones de datos durante 2023
Madrid, Ámsterdam, 29 de febrero de 2024.— Group-IB, uno de los principales proveedores de tecnologías de ciberseguridad para la investigación, prevención y lucha contra el crimen digital, presenta “Hi-Tech Crime Trends” una visión global del panorama de las ciberamenazas en la región europea para los años 2023/2024 con la publicación de su informe anual Tendencias de Crimen de Alta Tecnología. El estudio ofrece un análisis exhaustivo de cómo han evolucionado los retos de la ciberseguridad en Europa.
Según los investigadores de Group-IB, durante 2023, el número de ataques de ransomware aumentó cerca de un 52% en Europa, dirigiéndose principalmente contra empresas pertenecientes a los sectores manufacturero, inmobiliario y de transporte. Reino Unido, Francia y Alemania mantuvieron su estatus como países más atacados por agrupaciones de Ransomware como Servicio (RaaS, por sus siglas en inglés). España fue el quinto país más atacado.
A lo largo de 2023, la región sufrió 108 ciberataques perpetrados por grupos de hackers patrocinados por Estados. Las instituciones gubernamentales y militares destacaron como objetivos más importantes, con 48 incidentes contra ellas.
Los programas maliciosos conocidos como ladrones de información (information stealers) representaron un problema significativo en Europa, al infectar 250.000 sistemas (un 23% más que en 2022) y 647.485 hosts (un 28% más que el año anterior). A destacar, la venta de los registros sustraídos de estos dispositivos, los primeros en Nubes Subterráneas de Registros (UCLs, por sus siglas en inglés) y los segundos (procedentes de hosts) en mercados clandestinos.
Paralelamente, el informe evidencia un descenso del 7% en el número de ofertas de venta de acceso inicial a redes comprometidas en la región. Además, algo más de un millón de tarjetas comprometidas registradas en Europa aparecieron en el mercado oculto del cibercrimen en 2023; sin variación con respecto a 2022.
Table of Contents
Europa en el punto de mira de los Information Stealers
Los investigadores de Group-IB descubrieron que la región europea fue el segundo escenario mundial de Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés) el año pasado. En total, Group-IB atribuyó 523 ataques a actores Estado-nación en todo el mundo en 2023.
Los ataques a organizaciones europeas representaron el 21% del total mundial. Europa sufrió 108 ciberataques perpetrados por diversos grupos de hackers patrocinados por Estados. Las agrupaciones más destacadas que operaron en Europa fueron Lazarus, Mustang Panda, APT41 y Sandman (todos ellos de Asia Oriental), junto con APT28, BlackEnergy, Gamaredon, Turla y Callisto (en la región de la Comunidad de Estados Independientes (CEI)). Los ataques fueron complejos y selectivos, lo que subraya la creciente tendencia a utilizar el ciberespacio para lograr objetivos relacionados con el gobierno.
Con 31 incidentes registrados, Ucrania fue la víctima fundamental de los ataques procedentes de Estado-nación, lo que probablemente refleja los actuales conflictos políticos en la región. Los otros cuatro países europeos más afectados por grupos de APTs fueron Polonia (11 ataques), Alemania, Francia e Italia, con 6 ataques cada uno.
Los organismos gubernamentales y militares de Europa, con 48 ataques, representaron los sectores de mayor interés para los grupos de APTs. Esto demuestra que las agrupaciones patrocinadas por Estados están especialmente interesadas en áreas que influyen en la seguridad nacional y en la política exterior.
Informe detallado: Crónicas del ransomware, doble crecimiento en 2023
Con un prodigioso liderazgo tanto en escala como en impacto, el ransomware siguió constituyendo una amenaza significativa para el mercado europeo. Una vez más, el continente se convirtió en la segunda región más atacada a nivel mundial después de Norteamérica, con 1.186 empresas cuya información fue publicada en Sitios de Filtración de Datos (DLS, por sus siglas en inglés) de ransomware. Esto se traduce en un incremento aproximado del 52% respecto al año anterior, cuando la información perteneciente a 781 empresas víctimas de Europa apareció en los DLS.
En 2023, el sector manufacturero fue el más golpeado en Europa, acaparando el 16% de todas las empresas víctima cuyos datos fueron divulgados en los DLS. La industria inmobiliaria figuró en segundo lugar, al recibir el 8% de todos los ataques de la región. En tercera posición se situó el sector del transporte, al ser objeto del 5% de los ataques.
Al respecto de los grupos de ransomware más activos en la región, LockBit lideró este ranking al ser el responsable del 26% de los ataques, seguido de Play con el 9%, y de Black Basta con el 7%. Otro dato significativo relativo a 2023 fue el incremento de las empresas con sede en el Reino Unido afectadas por ransomware, con un incremento aproximado del 73%, llegando a 245 compañías, lo que convierte al Reino Unido en el país más perjudicado de Europa, según los datos publicados en los DLS de ransomware.
Por su parte, Francia experimentó un aumento del 45%, con 149 entidades afectadas, mientras que Alemania tuvo una subida del 12%, con 145 organizaciones atacadas. España fue el quinto país más atacado, con 89 empresas afectadas.
Mercado bajista: la actividad de los intermediarios se ralentiza
Cómplices de ransomware que venden acceso inicial a redes corporativas en la internet oscura, conocidos como Brokers o Intermediarios de Acceso Inicial (IABs, por sus siglas en inglés), experimentaron una ligera desaceleración, adaptándose a las demandas de otros actores de amenazas en la región europea.
En 2023, el acceso a redes corporativas en Europa fue puesto a la venta en 628 ocasiones, un 7% menos que en 2022 (674 veces). Los 5 principales países europeos objetivo de los IABs fueron Reino Unido (111), Francia (83), España (70), Alemania (63) e Italia (62).
El sector de servicios profesionales fue la más afectada en 2023, con ofertas de acceso que se duplicaron en comparación con 2022, al totalizar 52 (el 8% de todas las ofertas dirigidas a la región). Le siguieron el sector manufacturero, con 44 ofertas (7% del total de las destinadas a la región), el de comercio y las compras, con 37 (6% de todas las enfocadas a la región) publicadas por los IABs.
La oferta de acceso VPN disminuyó un 50%, mientras que las cuentas RDP aumentaron un 34%. En cuanto al acceso con privilegios de usuario, las ofertas se elevaron un 35% en 2023, lo que indica una mayor diferenciación de acceso por parte de las empresas o una falta de competencias entre los IABs.
El IAB más activo en la región fue el actor de amenazas conocido como mazikeen, un nuevo agente, activo desde enero de 2023. De forma general, mazikeen vendió acceso a redes corporativas a través de cuentas de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) comprometidas (98%). Un tercio de las víctimas de mazikeen fueron empresas con sede en Europa. Casi todas las ofertas contenían información sobre el país, el sector, los privilegios de acceso, el nivel de acceso y los sistemas antivirus utilizados por la empresa.
Basándose en la actividad de mazikeen, los expertos de Group-IB pudieron concluir que el autor de la amenaza se comunicaba en ruso y se auto identificaba como mujer, algo poco frecuente en la ciberdelincuencia clandestina. En los foros, mazikeen indicaba que no escaneaba las redes corporativas puestas a la venta y que no buscaba persistir en ellas. Los precios del intermediario eran de los más bajos, desde 30 dólares, cuando el valor medio alcanza los 180,20 dólares.
Raccoon y amigos robando cosas
Los registros de information stealers (ladrones de información) se han convertido en una de las principales formas que tienen los ciberdelincuentes de acceder a las redes de las empresas porque son sencillos, pero muy eficaces. Los “information stealers” son un tipo de malware que recopila credenciales guardadas en los navegadores, datos de tarjetas bancarias, información de cripto carteras, cookies, historial de navegación y otra información de los navegadores instalados en los ordenadores infectados.
Las Nubes Subterráneas de Registros (UCLs) gratuitas son una de las principales fuentes de datos sobre los hosts infectados. Las UCLs son servicios especiales que proporcionan acceso a información confidencial comprometida en su mayor parte obtenida por los ladrones de información. A diario se publican en estos servicios registros de datos por valor de gigabytes, y esa cifra sigue creciendo. En el último año, se ha producido un aumento del 23% en el número de hosts infectados únicos en Europa y cuyos registros se han publicado en UCLs, superando los 250.000.
España se situó a la cabeza con un crecimiento del 48% de hosts en UCLs (31.665), mientras que hace un año ocupaba la tercera posición. Le sigue en segundo lugar Francia, líder en 2022, con un descenso del 3% de hosts en UCLs, hasta los 25.873. Polonia cierra la lista de los tres países europeos más afectados, con un aumento del 6% (23.393). Dos países que registraron un crecimiento significativo en 2023 fueron Alemania (por encima del 32%, hasta los 22.966) e Italia (rebasando el 18%, hasta los 22.309).
En comparación con 2022, la lista de los tres ladrones de información más populares utilizados para comprometer hosts y cuyos registros se encontraron en UCLs varió ligeramente. Vidar, que en 2023 ocupaba el segundo lugar, bajó al cuarto puesto, cediendo su posición a МЕТА. Los tres principales ladrones que atacan a los usuarios en Europa son RedLine Stealer, META y Raccoon.
Los mercados clandestinos también fueron en ascenso. A diferencia de los UCLs, donde gran parte de los registros se distribuyen gratuitamente, los mercados clandestinos son utilizados para vender logs de hosts comprometidos por ladrones de información. En 2023, tuvo lugar un crecimiento del 28% en comparación con 2022, y el número total de hosts puestos a la venta y relacionados con Europa fue de 647.485.
Por primera vez, España se convirtió en el objetivo prioritario en función de los registros encontrados en los mercados clandestinos, con 73.788 logs detectados en 2023, lo que supone un aumento de más del 42% en comparación con el año anterior. Le siguen en esta clasificación Italia, con 72.138 logs, un 33% más, y Francia, con 69.026, lo que representa un incremento del 23%. Raccoon, LummaC2 y RedLine Stealer son los ladrones de información más populares entre los ciberdelincuentes que atacan la región.
Marea de filtraciones
En 2023 se detectaron 386 nuevos casos de filtración de datos de dominios públicos en Europa. Como parte de estos incidentes, más de 292.034.484 millones de cadenas con datos de usuarios resultaron comprometidas. Francia, España e Italia fueron los países más afectados, con 64, 62 y 52 casos de filtración de datos, respectivamente.
Las direcciones de correo electrónico, los números de teléfono y las contraseñas suponen el mayor riesgo, ya que pueden ser utilizados por agentes de amenazas para diversos tipos de ataques. De todos los datos filtrados en 2023, 140.642.816 entradas contenían direcciones de correo electrónico (de las cuales 96.590.836 eran únicas). Además, se detectaron 9.784.230 filtraciones de contraseñas (de las cuales 3.832.504 eran únicas) y 157.074.355 entradas con números de teléfono (de las cuales 95.728.584 eran únicas).
El informe Tendencias de Crimen de Alta tecnología 23/24 de Group-IB pone de relieve los cambios en el comportamiento de los actores de las amenazas, la aparición de nuevas TTPs y las tendencias generales que han llegado a definir la naturaleza evolutiva de las amenazas a la ciberseguridad. Si lo desea, puede descargar el informe aquí:
https://www.group-ib.com/resources/research-hub/hi-tech-crime-trends-2023-eu/
Acerca del informe Tendencias de Crimen de Alta Tecnología
Group-IB lleva presentando sus informes anuales desde 2012, integrando los datos recopilados como resultado de las propias investigaciones de la empresa con los hallazgos de la respuesta a incidentes en todo el mundo. Sirviendo como guía práctica para una amplia gama de expertos – en gestión de riesgos, transformación digital de negocios, planificación estratégica en el campo de la ciberseguridad e inversión en protección de sistemas de información- el estudio proporciona previsiones anuales que siempre han demostrado ser precisas. Para los especialistas técnicos, incluidos СISOs, equipos SOC y DFIR, investigadores y analistas de malware, así como expertos en Caza de Amenazas (Threat Hunting), el informe de Group-IB les ofrece la oportunidad de analizar la pertinencia de las políticas de ciberseguridad, ajustar la configuración de seguridad de sus sistemas y reforzar sus conocimientos para contrarrestar las ciberamenazas más relevantes para su sector.
Este año, Group-IB ha introducido una serie de mejoras significativas en su análisis Tendencias de la Delincuencia de Alta Tecnología con el fin de ofrecer a sus lectores una información más precisa y relevante. En primer lugar, Group-IB ha revisado el marco temporal de sus investigaciones para comparar años naturales. En segundo lugar, Group-IB ha introducido en cada capítulo información estratégica específica para cada región. Otras novedades incluyen una sección dedicada a las amenazas de la inteligencia artificial y un análisis en profundidad de las formas en que los ciberdelincuentes abusan de los servicios legítimos.
Gracias al uso de herramientas únicas para rastrear la infraestructura de los ciberdelincuentes, así como a un estudio exhaustivo de las investigaciones realizadas por diversos equipos de ciberseguridad de todo el mundo, los expertos de Group-IB identifican y confirman anualmente patrones comunes que conforman una imagen completa del desarrollo de las ciberamenazas en el mundo. Esto constituye la base de las previsiones futuras recogidas en el informe, que ayudan a las organizaciones de todo el mundo a elaborar estrategias de ciberseguridad eficaces basadas en las amenazas relevantes.
Puede consultar más informes en el Centro de Investigación de Group-IB.
Acerca de Group-IB
Fundado en 2003 y con sede en Singapur, Group-IB es uno de los principales proveedores de tecnologías de ciberseguridad para investigar, prevenir y combatir la delincuencia digital. La lucha contra la ciberdelincuencia está en el ADN de la empresa, dando forma a sus capacidades tecnológicas para defender a las organizaciones, los ciudadanos y apoyar las operaciones policiales.
En noviembre de 2023, Group-IB celebró el 20º aniversario de su fundación con una serie de emocionantes eventos que marcaron el crecimiento global de la empresa y su importante contribución a los esfuerzos internacionales de las fuerzas de seguridad para acabar con la ciberdelincuencia.
Los Centros de Resistencia a la Delincuencia Digital (DCRC) de Group-IB están situados en Oriente Próximo, Europa, Asia-Pacífico y Asia Central para ayudar a analizar críticamente y mitigar con celeridad las amenazas específicas de cada región y país. Estas unidades de misión crítica ayudan a Group-IB a reforzar su contribución a la prevención de la ciberdelincuencia mundial y a ampliar continuamente sus capacidades de caza de amenazas.
La estructura operativa descentralizada y autónoma de Group-IB le permite ofrecer servicios de apoyo personalizados y completos con un alto nivel de especialización. Mapeamos y mitigamos las tácticas de los adversarios en cada región, ofreciendo soluciones de ciberseguridad personalizadas adaptadas a los perfiles de riesgo y a los requisitos de diversos sectores, como el comercio minorista, la sanidad, el juego, los servicios financieros, la fabricación y los servicios críticos, entre otros.
Los líderes en seguridad global de la compañía trabajan en sinergia con algunas de las tecnologías más avanzadas de la industria para ofrecer capacidades de detección y respuesta que eliminan las interrupciones cibernéticas con agilidad.
La Plataforma de Riesgo Unificada (URP) de Group-IB sustenta su convicción de construir un entorno cibernético seguro y de confianza mediante la utilización de tecnología basada en inteligencia y una experiencia ágil que detecta y defiende completamente contra todos los matices de la delincuencia digital. La plataforma protege de forma proactiva las infraestructuras críticas de las organizaciones frente a ataques sofisticados, al tiempo que analiza continuamente comportamientos potencialmente peligrosos en toda su red.
La completa suite incluye la Inteligencia de Amenazas más fiable del mundo, la Protección contra el Fraude más completa, la Protección contra el Riesgo Digital potenciada por IA, la Protección Multicapa con Detección y Respuesta Ampliadas (XDR) Gestionadas, la Protección del Correo Electrónico Empresarial en toda la infraestructura y la Gestión de la Superficie de Ataque Externa.
Además, el ciclo completo de respuesta a incidentes e investigación de Group-IB ha elevado constantemente los estándares de la industria, con más de 70.000 respuestas a incidentes de ciberseguridad completadas por su propio laboratorio DFIR líder en el sector, el Departamento de Investigación de Delitos de Alta Tecnología y el CERT-GIB, que funciona las 24 horas del día.
Sus soluciones y servicios han sido elogiados una y otra vez por las principales agencias de asesoramiento y análisis, como Aite Novarica, Forrester, Frost & Sullivan, KuppingerCole Analysts AG, etc.
Como socio activo en investigaciones globales, Group-IB colabora con organizaciones internacionales de aplicación de la ley como INTERPOL y EUROPOL para crear un ciberespacio más seguro.
Group-IB también es miembro del Grupo Consultivo sobre Seguridad en Internet del Centro Europeo de Ciberdelincuencia (EC3) de Europol, creado para fomentar una cooperación más estrecha entre Europol y sus principales socios no encargados de la aplicación de la ley.
Apoya al Periodismo Independiente
¿Te sirvió en algo este contenido?, ayúdanos a combatir la Desinformación, dona desde S/ 1.00 a nuestro PLIN 943-438-457
