Estos son los grupos cibercriminales detrás de los principales ciberataques

Los ciberataques se han convertido en una constante en nuestra vida diaria. En los últimos tiempos, hemos visto cómo afectan a hospitales, infraestructuras críticas, a operadores de telefonía, a empresas de automoción, a diputaciones, a ayuntamientos, etc. Campañas de phishing, ataques de ransomware, ataques distribuidos de denegación de servicio (DDoS)… ¿Qué grupos están detrás de estas ciberamenazas? Los descubrimos con ayuda de Raquel Puebla, analista de ciberinteligencia de Entelgy Innotec Security.

Sparta Group y Hobbit, los que más afectan a objetivos españoles:

• Sparta Group: subdivisión de ransomware del grupo hacktivista KillNet que surgió en febrero de 2022 a raíz de la invasión rusa sobre Ucrania. Se ha posicionado a favor de Rusia y ha dirigido sus actividades contra organizaciones gubernamentales e infraestructuras que han mostrado su apoyo al bando ucraniano. Hace unos meses, KillNet declaró la ciberguerra a varios países, entre los que se encuentra España. Fue un actor importante, junto con LockBit, en la operación de ransomware que mayor impacto logró dentro del ámbito español en 2022.
• Hobbit: familia de malware bancario en desarrollo dirigida a entornos Android de la que se tiene constancia desde los últimos meses de 2022 y que tiene como objetivo las aplicaciones de diversas entidades bancarias de origen español. Esta familia actúa bajo el modelo de malware as a service (MaaS) a través de canales de Telegram privados, utilizando como vectores de acceso distintas técnicas de ingeniería social entre las que destaca el phishing, el SMS spoofing y la descarga de aplicaciones móviles fraudulentas.

LockBit, BlackCat, Hive, Hydra y Alien, los que más impacto tienen:

• LockBit: familia de ransomware desarrollada por el grupo Bitwise Spider que, al igual que la gran mayoría de sus homólogos, es distribuido en forma de ransomware “as a service” (RaaS). En 2022 perpetró 764 ciberataques exitosos de ransomware, constituyéndose como la familia más activa a lo largo de todo el año. El grupo que desarrolla este malware demuestra una elevada capacidad para sobreponerse ante las adversidades.
• BlackCat: también conocida como ALPHV, es una familia de ransomware de la que se tiene constancia desde mediados de noviembre de 2021 y que se constituyó como el segundo ransomware más activo durante 2022. También emplea técnicas de ransomware as a service (RaaS) y tácticas de cuádruple extorsión (compromiso, amenaza de filtrado de datos, campaña DDoS y etapa de acoso a clientes, empleados y socios comerciales), presentando afinidad con Rusia.
• Hive: también conocida como HiveLeaks, es una familia de ransomware considerada una de las más activas durante 2022. Se caracteriza por el empleo de modelos de ransomware as a Service (RaaS) y doble extorsión. Dirige sus ciberataques especialmente contra la infraestructura logística y de transporte, la alimentación, la educación, la salud, la energía y el gobierno. En los últimos meses se anunció su presunta desarticulación gracias a una operación policial conjunta de Estados Unidos y Alemania, por lo que se desconoce si volverá a tener actividad en el futuro.
• Hydra: familia de malware bancario dirigida a entornos Android de la que se tiene constancia desde principios del año 2019 y que ha logrado una amplia repercusión sobre el sector bancario a nivel internacional, especialmente a partir de 2022. Este malware emplea como señuelo aplicaciones aparentemente legítimas alojadas en Google Play y parece estar vinculado con cibercriminales especializados en modelos de dropper as a service (DaaS).
• Alien: familia de malware bancario dirigida a entornos Android de la que se tiene constancia desde principios del año 2020 y que surge como una variante avanzada del conocido troyano bancario Cerberus. Se ha observado que podría estar siendo operada bajo el modelo de negocio de malware as a service (MaaS), ya que se oferta en distintos foros clandestinos de esta índole.