Contacto
Links
Menú
Ubicacion
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.
junio 26, 2023
Las bandas de ransomware han encontrado un mercado rentable en LATAM, pero no están solas, necesitan actores regionales que les proporcionen el acceso inicial a las empresas. Estos grupos locales crean campañas de phishing basadas en las actividades del gobierno durante el año, como la temporada de impuestos, el mes del testamento, el Buen Fin, etc., una vez que obtienen acceso, Lockbit, Medusa, Darkside, etc., se hacen cargo de completar la misión.
El equipo de Inteligencia de Amenazas de Metabase Q ha descubierto recientemente un grupo local que creó una nueva botnet autoproclamada como “Fenix”, que se dirige específicamente a los usuarios que acceden a los servicios gubernamentales, en particular a las personas que pagan impuestos en México y Chile. Esta botnet aprovecha la temporada de impuestos en ambos países, que ocurrió en abril pasado. En su campaña maliciosa, los atacantes redirigen a las víctimas a sitios web fraudulentos que imitan los portales oficiales del Servicio de Administración Tributaria (SAT) en México y el Servicio de Impuestos Internos (SII) en Chile. Estos sitios web falsos solicitan a los usuarios que descarguen una supuesta herramienta de seguridad, alegando que mejorará la seguridad de navegación de su portal. Sin embargo, sin que las víctimas lo sepan, esta descarga en realidad instala la etapa inicial del malware, lo que en última instancia permite el robo de información confidencial, como credenciales.
Si bien tenemos evidencia de que el actor ha estado activo desde Q4 2022, hemos enumerado las campañas más recientes y las instituciones objetivo a continuación donde la principal motivación es instalar un infostealer para obtener las credenciales de los usuarios que acceden a estos sitios:
Fecha de la campaña | Página de destino | Entidad y país objetivo |
2023-02-02 | citas-sregob-mexico[.] com | Secretaria de Relaciones Exteriores – México |
2023-02-02 | sre-curpmexico[.] .com | Secretaria de Relaciones Exteriores – México |
2023-02-02 | citas-sat2023[.] com.mx | Servicio de Administración Tributaria (SAT) – México |
2023-02-08 | mexico-curp[.] com | Secretaria de Relaciones Exteriores – México |
2023-03-04 | whatsapp.website | Público en general |
2023-03-17 | annydesk.website | Público en general |
2023-03-17 | tramites-sat[.] com.mx | Secretaria de Relaciones Exteriores – México |
2023-03-14 | citasatmx2023[.] años | Servicio de Administración Tributaria (SAT) – México |
2023-03-14 | 2repuvegobmx[.] com.mx | Registro Público Vehicular (REPUVE) – México |
2023-03-16 | Escitas-satMX[.] ..com | Servicio de Administración Tributaria (SAT) – México |
2023-03-29 | LBCI-Seguros[.] ..com | Banco BCI – Chile |
2023-04-13 | siii-chile[.] com | Servicio de Impuestos Internos (SII) – Chile |
2023-04-15 | consultacurp-gobmx[.] com.mx | Secretaria de Relaciones Exteriores – México |
Podemos confirmar con gran confianza que la Botnet Fénix involucra a desarrolladores mexicanos. Sin embargo, dado que esta es una investigación en curso, aún no es posible revelar todos los detalles del actor. Algunas características del actor de Fénix son las siguientes:
Estamos viendo que se están creando nuevos grupos maliciosos en LATAM para proporcionar acceso inicial a las bandas de Ransomware, como se detalla en este blog, estos actores locales no son aficionados y aumentarán su experiencia técnica y por lo tanto más difíciles de rastrear, detectar y erradicar, es importante anticipar sus acciones. El equipo de Inteligencia de Amenazas de Metabase Q, rastrea estas amenazas emergentes, monitorea sus movimientos, desmonta su infraestructura, comprende sus motivaciones, comparte indicadores de compromiso en tiempo real y proporciona las últimas técnicas a nuestros clientes para protegerlos de manera proactiva.
Somos una consultoría especializada en la seguridad de información, que por medio de una gama de consultores expertos en la materia, brindamos soluciones a los problemas tecnológicos que enfrentan las diferentes industrias.
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.