Al menos 34 grupos distintos de ciberdelincuencia de habla rusa que utilizan malware de robo de información como Raccoon y Redline han robado colectivamente 50,350,000 contraseñas de cuentas de más de 896,000 infecciones individuales entre enero y julio de 2022.
Las credenciales robadas eran de billeteras de criptomonedas, cuentas Steam, Roblox, Amazon y PayPal, así como registros de tarjetas de pago.
Según un informe de Group-IB, cuyos analistas han estado rastreando estas operaciones a nivel mundial, la mayoría de las víctimas se encuentran en los Estados Unidos, Alemania, India, Brasil e Indonesia. Sin embargo, las operaciones maliciosas se dirigieron a 111 países.
El auge de los ladrones de información
En 2022, la distribución de malware para robar información alcanzó niveles sin precedentes y ahora involucra a hackers poco calificados que aspiran a obtener mayores ganancias de sus actividades ilegales.
Group-IB dice que los ciberdelincuentes que impulsan el crecimiento del despliegue de ladrones de información son estafadores de bajo nivel que anteriormente trabajaron como "llamadores de víctimas" en campañas de phishing conocidas como "Classiscam".
Actualmente, hay 34 grupos activos de ciberdelincuentes en Telegram que operan como pandillas de robo de información a gran escala, cada uno con aproximadamente 200 miembros.
23 de los grupos usan el malware Redline, ocho emplean Raccoon y tres usan su propio malware personalizado.
SEKOIA también señaló a principios de esta semana que otro ladrón de información llamado 'Aurora' está ganando terreno en los foros clandestinos y ya ha sido adoptado por siete grupos de amenazas prominentes.
El aumento en la actividad de ladrones de información se muestra en las estadísticas compiladas por el informe de Group-IB. El informe comparó un período de 10 meses en 2021 con un período de siete meses en 2022.
- Contraseñas robadas: 50,352,518 (un 80% más)
- Archivos de cookies extraídos: 2,117,626,523 (un 74% más)
- Billeteras de criptomonedas hackeadas: 113,204 (un aumento del 216%)
- Tarjetas de pago comprometidas: 103,150 (hasta un 81% más)
Group-IB también señaló que en los primeros siete meses de este año los ciberdelincuentes se concentraron en robar cuentas de Steam, Epic Games y Roblox, registrando un aumento de cinco veces en comparación con el año pasado.
Operaciones basadas en Telegram
Telegram juega un papel vital en el funcionamiento de estas ciberpandillas, tanto en la organización de sus campañas como en el mantenimiento de una estructura funcional que se adapte a sus actividades de robo de datos.
Estos canales privados de Telegram ofrecen soporte y orientación técnica a los operativos. Además, pueden servir como puntos de filtración de datos, alojar anuncios importantes, actuar como portales de informes de errores y también cuentan con bots que pueden generar compilaciones de malware personalizadas para los clientes las 24 horas del día, los 7 días de la semana.
Los grupos aún se rigen por reglas jerárquicas, con los "administradores" sentados en la parte superior del rango, vendiendo acceso a malware para robar información a los "trabajadores" por unos pocos cientos de dólares al mes.
Los trabajadores son responsables de dirigir el tráfico a los sitios que instalan malware, lo que hacen mediante el uso de videos de YouTube, BlackSEO, envenenamiento de SEO, archivos torrent enlazados o publicaciones maliciosas en las redes sociales.
Contramedidas
Para evitar ser víctima de esta campaña de malware de robo de contraseñas y otros ataques cibernéticos, te recomendamos que evites descargar software de fuentes sospechosas o desconocidas, verificar todos los ejecutables descargados con una solución antivirus antes de abrirlos y mantener tu sistema actualizado. Además, debes evitar guardar contraseñas en tu navegador y asegúrate de borrar las cookies regularmente.
Otros pasos para evitar el acceso no autorizado a las cuentas incluyen el uso de la autenticación multifactor, para que, en caso de robo de una contraseña, sea mucho más difícil para un ciberdelincuente usar la cuenta.
Finalmente, debes evitar usar la misma contraseña en varias cuentas,
especialmente si se trata de una
contraseña débil o de uso común.