Home Ciberguerra Group-IB identificó las credenciales filtradas de 40.000 usuarios de sitios web gubernamentales...

Group-IB identificó las credenciales filtradas de 40.000 usuarios de sitios web gubernamentales en 30 países

La mayoría de las víctimas, se encontraba en Italia (52%), Arabia Saudí (22%) y Portugal (5%). Los datos de los usuarios pudieron haber sido vendidos en foros clandestinos de hackers, utilizados en ataques dirigidos a robar dinero o a extraer información confidencial. Una vez identificada esta información, el CERT-GIB (Equipo de Respuesta a Emergencias Informáticas del Grupo-IB) advirtió rápidamente a los CERTs de los países afectados sobre la amenaza, de modo que los riesgos pudieran ser mitigados.

Según los expertos del Grupo IB, los ciberdelincuentes robaron los datos de las cuentas de los usuarios utilizando un programa espía especial: capturadores de formularios, registradores de pulsaciones de teclas, como Pony Formgrabber, AZORult y Qbot (Qakbot). Los correos electrónicos de phishing se enviaban a cuentas de correo electrónico personales y corporativas. La infección provino de un malware incluido como archivo adjunto de correo electrónico disfrazado de archivo o archivo legítimo. Una vez abierto, ejecutó un troyano destinado a robar información personal. Por ejemplo, Pony Formgrabber recupera las credenciales de inicio de sesión de archivos de configuración, bases de datos, almacenes secretos de más de 70 programas en el ordenador de la víctima y luego envía información robada al servidor de C&C de los ciberdelincuentes. Otro robador de troyanos – AZORult, además de robar contraseñas de navegadores populares, es capaz de robar datos de carteras criptográficas. El gusano Qbot recopila las credenciales de inicio de sesión mediante el uso de keylogger, roba archivos y certificados de cookies, sesiones de Internet activas y reenvía a los usuarios a sitios web falsos.

Los datos de las cuentas de usuario robadas se clasifican generalmente por tema (datos de clientes de bancos, cuentas de usuario de portales gubernamentales, listas combinadas – correo electrónico y contraseña) y se ponen a la venta en foros clandestinos de hackers. Cabe señalar que las cuentas de usuario de los sitios web del gobierno son menos comunes en los foros. Los ciberdelincuentes y los grupos de APT patrocinados por el estado, especializados en sabotaje y espionaje, se encuentran entre los que pueden comprar esta información. Conociendo las credenciales de los usuarios de los sitios web del gobierno, los hackers no sólo pueden obtener información clasificada de estos sitios web, sino también infiltrarse en las redes gubernamentales. Incluso la cuenta de un empleado gubernamental comprometido puede llevar al robo de secretos comerciales o de estado.

El malware utilizado por los ciberdelincuentes para poner en peligro las cuentas de los usuarios sigue evolucionando. Para una mejor protección contra este tipo de ataques, es importante no sólo utilizar las soluciones antiAPT más actualizadas, sino también conocer el contexto de los ataques: cuándo, dónde y cómo se comprometieron sus datos”.

El sistema Group-IB Threat Intelligence actualizado regularmente, permite obtener información procesable sobre fugas de datos, cuentas comprometidas, información sobre malware, IPs infectadas, vulnerabilidades existentes en todo el mundo. Estos indicadores únicos permiten prepararse de antemano para los ciberataques. Otro factor importante es la cooperación internacional. Para prevenir nuevos incidentes, los analistas del GIB-CERT se pusieron en contacto con los CERT oficiales de más de 30 países y notificaron a los equipos locales de respuesta a incidentes sobre el compromiso de los datos.