Gobiernos de todo el mundo vulnerados por el cibercrimen

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Los portales oficiales del gobierno incluyen Polonia (gov.pl), Rumania (gov.ro), Suiza (admin.ch), los sitios web del Ministerio de Defensa italiano (difesa.it), las Fuerzas de Defensa de Israel (idf.il), el Gobierno de Bulgaria (government.bg), el Ministerio de Finanzas de Georgia (mof.ge), la Dirección de Inmigración de Noruega (udi.no), los Ministerios de Asuntos Exteriores de Rumania e Italia y muchas otras agencias gubernamentales se vieron afectadas por el compromiso de los datos.

Empleados gubernamentales, ciudadanos militares y civiles que tenían cuentas en portales oficiales del gobierno de Francia (gouv.fr), Hungría (gov.hu) y Croacia (gov.hr) se convirtieron en víctimas de este compromiso de datos.

En el último año y medio, se han detectado más de 40 000 cuentas de usuarios de los sitios web gubernamentales más grandes de 30 países de todo el mundo: Italia (52%), Arabia Saudita (22%) y Portugal (5%) fueron losmás afectados.

Según los expertos,los delincuentes cibernéticos robaron los datos de las cuentas de los usuarios mediante un software espía especial: formgrabbers, keyloggers, como Pony Formgrabber, AZORult y Qbot (Qakbot).

Los correos electrónicos de phishing fueron enviados a cuentas de correo electrónico personales y corporativas.

La infección provino de un malware incluido como un archivo adjunto de correo electrónico disfrazado de archivo o archivo legítimo. Una vez abierto, ejecutó un troyano destinado a robar información personal.

Por ejemplo, Pony Formgrabber recupera las credenciales de inicio de sesión de los archivos de configuración, bases de datos, almacenamientos secretos de más de 70 programas en la computadora de la víctima y luego envía información robada al servidor de C&C de los delincuentes cibernéticos.

Otro troyano: AZORult, además derobar contraseñas de navegadores populares, es capaz de robar datos de billeteras criptográficas.

El gusano Qbot reúne las credenciales de inicio de sesión mediante el uso del keylogger, roba archivos y certificados de cookies, sesiones activas de Internet y envía a los usuarios a sitios web falsos.

Los datos de las cuentas de usuarios robados generalmente se ordenan por temas (datos de clientes de los bancos, cuentas de usuarios de portales gubernamentales, listas de combo -correo electrónico y contraseña) y se venden en foros clandestinos de hackers.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS