de criptomonedas mexicanas de alto patrimonio , bancos y grandes empresas con más de 100 millones de dólares en ingresos brutos.
Los atacantes han sido trachasta México y se cree que tienen su base en América Latina.
Metodología de ataque sofisticada
El informe de BlackBerry destaca el uso de una herramienta de acceso remoto de código abierto llamada AllaKore RAT por parte de los cibercriminales. Esta herramienta está ampliamente modificada para permitir el robo de información confidencial del usuario, incluyendodentbancarias y datos de autenticación únicos.
La información robada se transmite a un servidor de comando y control (C2), lo que facilita el fraude financiero.
Una de las características notables de este ciberataque es su método de infiltración. Los atacantes buscan instalar el RAT AllaKore en ordenadores y bases de datos de empresas, a menudo ocultando sus acciones tras esquemas de nombres y enlaces oficiales.
Este método les ha permitido eludir las sospechas de los empleados, convirtiéndolo en una amenaza difícil de detectar.
El alcance de esta ciberamenaza trasciende el sector financiero. Si bien las plataformas de intercambio de criptomonedas y los bancos han sido los principales objetivos, grandes corporaciones mexicanas de diversos sectores también han sido víctimas de estos ataques.
Estos sectores incluyen el comercio minorista, la agricultura, el sector público, la manufactura, el transporte, los servicios comerciales y los bienes de capital.
Grandes empresas mexicanas en el radar
Los atacantes prefieren grandes empresas con ingresos brutos superiores a 100 millones de dólares. Estas empresas reportan directamente al Instituto Mexicano del Seguro Social (IMSS), lo que las convierte en objetivostrac.
Se ha observado que los cibercriminales utilizan direcciones IP de Starlink en México, lo que confirma aún más su enfoque en entidades mexicanas.
A medida que los atacantes perfeccionan sus tácticas, las nuevas versiones del RAT AllaKore emplean un proceso de instalación más complejo. El malware se distribuye a las organizaciones objetivo dentro de un archivo de instalación de software de Microsoft.
El malware se ejecuta sólo después de confirmar que la víctima se encuentra en México, lo que indica un alto grado de sofisticación en su enfoque.
Conexión latinoamericana
Las instrucciones en español dentro de la carga útil modificada del RAT sugieren que el actor de amenazas responsable de estos ataques tiene su base en Latinoamérica. Esta conexión regional añade mayor complejidad a la investigación y subraya la necesidad de cooperación internacional para abordar esta ciberamenaza.
Dada la naturaleza cambiante de esta amenaza cibernética, es crucial que las organizaciones, especialmente aquellas en los sectores afectados, tomen medidas proactivas para proteger sus sistemas y datos.
Estas medidas pueden incluir la mejora de los protocolos de ciberseguridad, la implementación de sistemas robustos de detección de intrusiones y la capacitación en ciberseguridad a los empleados para ayudarlos a reconocer amenazas potenciales.
Esfuerzos de colaboración
Abordar esta ciberamenaza requiere la colaboración de los sectores público y privado. Las empresas afectadas por estos ataques deben colaborar estrechamente con las fuerzas del orden y en ciberseguridad para investigar y mitigar los daños.
Además, compartir inteligencia sobre amenazas y mejores prácticas dentro de la comunidad empresarial puede ayudar a fortalecer las defensas contra futuros ataques.
