{"id":11601,"date":"2022-12-02T15:09:55","date_gmt":"2022-12-02T20:09:55","guid":{"rendered":"https:\/\/syspertec.com.co\/web\/?p=11601"},"modified":"2022-12-02T15:10:02","modified_gmt":"2022-12-02T20:10:02","slug":"las-vulnerabilidades-aprovechadas-por-el-grupo-guacamaya-continuan-dejando-victimas-en-america-latina-alerta-kaspersky","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/las-vulnerabilidades-aprovechadas-por-el-grupo-guacamaya-continuan-dejando-victimas-en-america-latina-alerta-kaspersky\/","title":{"rendered":"Las vulnerabilidades aprovechadas por el grupo Guacamaya contin\u00faan dejando v\u00edctimas en Am\u00e9rica Latina, alerta Kaspersky<\/strong>"},"content":{"rendered":"\n

Los objetivos del nuevo grupo son empresas de los sectores de miner\u00eda, petr\u00f3leo y gas, as\u00ed como agencias gubernamentales en Chile, Colombia, Ecuador, Per\u00fa, Guatemala, M\u00e9xico y Venezuela<\/em><\/p>\n\n\n\n

Un informe del Equipo de Investigaci\u00f3n y An\u00e1lisis Global de Kaspersky revel\u00f3 que el autodenominado grupo hacktivista Guacamaya est\u00e1 formado por actores de amenaza latinoamericanos cuya agenda inicial se enfoc\u00f3 en la defensa del medio ambiente, pero posteriormente pas\u00f3 a atacar gobiernos y organismos militares. Para sus ataques, aprovechan vulnerabilidades en servidores de correo electr\u00f3nico para obtener informaci\u00f3n confidencial, exponer a sus v\u00edctimas en la prensa y crear crisis de reputaci\u00f3n. Para protegerse, las organizaciones deben actualizar sus servidores.<\/strong><\/p>\n\n\n\n

El t\u00e9rmino hacktivismo se utiliza para grupos de delincuentes que, a trav\u00e9s de ciberataques, llevan a cabo un activismo pol\u00edtico o social en defensa de una causa. En la \u00faltima d\u00e9cada se han registrado ataques de tales grupos, como: Anonymous (2010-2015), que abogaba por la libertad digital; LulzSec (2010-2011), que s\u00f3lo buscaba fama; y recientemente LAPSU$, que tiene una motivaci\u00f3n financiera. Si bien muchos de estos hacktivistas afirman que realizan estos ataques “por un bien mayor”, sus acciones siguen siendo ilegales y algunos grupos utilizan este mantra como pretexto para llevar a cabo fines maliciosos, y Guacamaya no es la excepci\u00f3n.<\/p>\n\n\n\n

Guacamaya aprovecha las vulnerabilidades de los servidores de correo electr\u00f3nico (Microsoft Exchange) para entrar en la red de la v\u00edctima – estas son conocidas como \u201cProxyShell\/ProxyLogon\u201d (CVE-2021-34473, CVE-2021-31206, CVE-2021-34523 y CVE-2021-31207) as\u00ed como Zimbra (CVE 2022-27925). Posteriormente, crean puertas traseras a fin de tener acceso permanente a la red comprometida y utilizan herramientas leg\u00edtimas para robar credenciales o elevar los privilegios de acceso de usuario. As\u00ed, los delincuentes obtienen acceso a todas las cuentas de correo electr\u00f3nico de la organizaci\u00f3n infectada y a la informaci\u00f3n sensible que contienen.<\/p>\n\n\n\n

Los objetivos del grupo est\u00e1n presentes principalmente en Brasil, Chile, Colombia, Ecuador, Per\u00fa, Guatemala, M\u00e9xico y Venezuela. Inicialmente, atacaron los sectores de miner\u00eda, petr\u00f3leo y gas, pero \u00faltimamente sus ataques se han extendido a organizaciones militares y gobiernos en toda Am\u00e9rica Latina.<\/p>\n\n\n\n

“Despu\u00e9s de extraer todos los correos electr\u00f3nicos, el grupo comienza a evaluar qu\u00e9 mensajes tienen el potencial de generar da\u00f1os a la reputaci\u00f3n de las v\u00edctimas. El siguiente paso es publicar todo en Internet y avisar a la prensa de la filtraci\u00f3n con el fin de que el ataque adquiera visibilidad p\u00fablica. Esta exposici\u00f3n y las posteriores crisis que genera para las organizaciones afectadas es el verdadero da\u00f1o de los ataques hacktivistas”<\/em>, explica Leandro Cuozzo, analista de seguridad para Am\u00e9rica Latina en Kaspersky<\/strong>.<\/p>\n\n\n\n

El informe de inteligencia de amenazas de Kaspersky muestra que las vulnerabilidades explotadas por Guacamaya en sus ataques se identificaron en febrero de 2021 y que luego se corrigieron en septiembre de ese mismo a\u00f1o. Sin embargo, las actividades maliciosas del grupo se intensificaron en 2022, lo que indica que las organizaciones no est\u00e1n aplicando los parches de seguridad en sus sistemas, lo que les habr\u00eda permitido evitar los incidentes reportados este a\u00f1o. <\/p>\n\n\n\n

Los expertos de Kaspersky tambi\u00e9n han identificado otros grupos criminales que explotan estas mismas vulnerabilidades, lo que significa que una v\u00edctima puede ser atacada por dos o m\u00e1s grupos a la vez. Adicionalmente, es de conocimiento p\u00fablico que existen nuevas vulnerabilidades en los servidores de correo electr\u00f3nico (Exchange), denominadas \u201cProxyNotShell\u201d (CVE-2022-41040 y CVE-2022-41082), pero no hay evidencia de que Guacamaya las est\u00e9 explotando. <\/p>\n\n\n\n

Un reciente estudio<\/a> del Equipo Global de Respuesta a Emergencias (GERT) de Kaspersky, el cual analiza datos an\u00f3nimos de 2021, revela que, en general, el 53.6% de los ciberataques comienzan con la explotaci\u00f3n de vulnerabilidades, seguidos por el uso de cuentas comprometidas (a las que se les han robado credenciales) con un 17.9% y el uso de correos electr\u00f3nicos maliciosos (para la instalaci\u00f3n de malware o el robo de credenciales) con un 14.3%. Tambi\u00e9n muestra que en el 40% de los ataques se utilizan herramientas leg\u00edtimas, lo que resalta una nueva tendencia en la que el uso de malware se produce s\u00f3lo en las etapas finales del ataque. En el caso de Guacamaya, el malware se utiliza para robar (exfiltrar) datos confidenciales.<\/p>\n\n\n\n

“En palabras m\u00e1s simples, nuestros hallazgos muestran que las empresas, al no actualizar sus sistemas, dejan las puertas abiertas para que entren los ciberdelincuentes. Para evitar estos ataques, basta con aplicar las correcciones necesarias que, en este caso, est\u00e1n disponibles desde hace m\u00e1s de un a\u00f1o. A pesar de comprender la criticidad que representan los correos electr\u00f3nicos para nuestra vida digital actual y la dificultad de aplicar correcciones en este entorno, este es el \u00fanico m\u00e9todo y la manera m\u00e1s efectiva para prevenir estos ataques.  Reitero que es esencial que las empresas y los gobiernos mantengan actualizados los servidores de Exchange, ya que nada impide que los delincuentes sigan utilizando este mecanismo de acceso\u201d,<\/em> destaca Eduardo Chavarro, miembro del Equipo Global de Respuesta a Incidentes para Am\u00e9rica Latina en Kaspersky<\/strong>.<\/p>\n\n\n\n

Los detalles t\u00e9cnicos e informaci\u00f3n adicional sobre el comportamiento del grupo est\u00e1n disponibles en el informe de inteligencia realizado por el equipo de expertos de Kaspersky para los suscriptores del Portal de Inteligencia<\/a> de la compa\u00f1\u00eda.<\/p>\n\n\n\n

\n\n\n\n

El origen del nombre Guacamaya<\/strong><\/p>\n\n\n\n

El nombre Guacamaya tiene ascendencia maya y significa \u201cguacamayo\u201d o \u201cloro de pico grueso\u201d, animales que se encuentran en varios pa\u00edses de Am\u00e9rica Latina, lo que da un indicio del origen del grupo. Adem\u00e1s, los mensajes que este grupo publica est\u00e1n en espa\u00f1ol y utilizan palabras propias del vocabulario de las comunidades ind\u00edgenas latinoamericanas. Combinado con el hecho de que la mayor\u00eda de las v\u00edctimas est\u00e1n presentes en la regi\u00f3n, Kaspersky puede afirmar con un alto grado de certeza que se trata de un grupo latinoamericano. <\/p>\n\n\n\n

###<\/p>\n\n\n\n

Acerca de Kaspersky<\/strong><\/p>\n\n\n\n

Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se transforma constantemente en soluciones y servicios de seguridad innovadores para proteger a empresas, infraestructuras cr\u00edticas, gobiernos y consumidores en todo el mundo. El amplio portafolio de seguridad de la compa\u00f1\u00eda incluye una protecci\u00f3n de endpoints<\/em> l\u00edder y una serie de soluciones y servicios de seguridad especializados para combatir las amenazas digitales m\u00e1s avanzadas y en evoluci\u00f3n. M\u00e1s de 400 millones de usuarios est\u00e1n protegidos por las tecnolog\u00edas de Kaspersky y ayudamos a 240,000 clientes corporativos a proteger lo que m\u00e1s valoran. Obtenga m\u00e1s informaci\u00f3n en http:\/\/latam.kaspersky.com<\/a><\/p>\n\n\n\n

–<\/p>\n\n\n\n

Syspertec sas<\/p>\n\n\n\n

Agencia de Prensa y Relaciones P\u00fablicas<\/p>\n","protected":false},"excerpt":{"rendered":"

Los objetivos del nuevo grupo son empresas de los sectores de miner\u00eda, petr\u00f3leo y gas, as\u00ed como agencias gubernamentales en Chile, Colombia, Ecuador, Per\u00fa, Guatemala, M\u00e9xico y Venezuela Un informe del Equipo de Investigaci\u00f3n y An\u00e1lisis Global de Kaspersky revel\u00f3 que el autodenominado grupo hacktivista Guacamaya est\u00e1 formado por actores de amenaza latinoamericanos cuya agenda […]<\/p>\n","protected":false},"author":2,"featured_media":11587,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","footnotes":""},"categories":[243],"tags":[176,195,119],"class_list":["post-11601","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kaspersky","tag-kaspersky","tag-syspertec","tag-tecnologia"],"jetpack_featured_media_url":"https:\/\/syspertec.com.co\/web\/wp-content\/uploads\/2022\/12\/Kaspersky_Panorama_Kaspersky_2.jpeg","_links":{"self":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/11601","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/comments?post=11601"}],"version-history":[{"count":1,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/11601\/revisions"}],"predecessor-version":[{"id":11603,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/posts\/11601\/revisions\/11603"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media\/11587"}],"wp:attachment":[{"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/media?parent=11601"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/categories?post=11601"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/syspertec.com.co\/web\/wp-json\/wp\/v2\/tags?post=11601"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}