Hackers chinos comprometieron organizaciones en 70 países

Un grupo de ransomware llamado «Ghost» está explotando las vulnerabilidades de red de diversas organizaciones para acceder a sus sistemas, según una advertencia conjunta emitida por múltiples agencias federales estadounidenses.« »

«Desde principios de 2021, los actores de Ghost comenzaron a atacar a víctimas cuyos servicios en línea ejecutaban versiones obsoletas de software y firmware», indicó la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), de Estados Unidos, en su comunicado del 19 de febrero. «Los actores de Ghost, ubicados en China, llevan a cabo estos ataques generalizados con fines de lucro».

Los ataques han tenido como objetivo escuelas y universidades, redes gubernamentales, infraestructuras críticas, empresas tecnológicas y manufactureras, el sector de la salud y múltiples pequeñas y medianas empresas.

«Este ataque indiscriminado a redes con vulnerabilidades ha llevado al compromiso de organizaciones en más de 70 países, incluidas algunas en China», advirtieron CISA, el FBI y el Centro de Información y Análisis Multiestatal.

Los actores denominados Gosth, también son conocidos por otros nombres, como Cring, Crypt3r, HsHarada, Hello, Wickrme, Phantom, Rapture y Strike.

Los delincuentes utilizan código público disponible para explotar «vulnerabilidades y exposiciones comunes» en sus objetivos para asegurar el acceso a los servidores. Se han aprovechado de fallos en Adobe ColdFusion, Microsoft Exchange y Microsoft SharePoint.

Los ciberdelincuentes emplean herramientas para «recopilar contraseñas o hashes de contraseñas, lo que les facilita inicios de sesión no autorizados, y escalada de privilegios o el acceso a otros dispositivos de las víctimas», se lee en la advertencia.

Los atacantes suelen permanecer solo unos días en las redes comprometidas. Las agencias recomiendan corregir vulnerabilidades conocidas aplicando actualizaciones de seguridad oportunas en firmware, software y sistemas operativos.

Las organizaciones también deben capacitar a sus empleados para reconocer intentos de phishing y detectar actividad inusual en la red.

«Mantener copias de seguridad periódicas del sistema que sean confiables y estén almacenadas sin conexión o segmentadas de los sistemas de origen», señala el informe.

Las víctimas del ransomware Ghost que tenían copias de seguridad no afectadas pudieron restaurar sus operaciones sin necesidad de contactar a los atacantes o pagar un rescate.

China se posiciona estratégicamente

Esta advertencia forma parte de un esfuerzo continuo para combatir las amenazas de ransomware.

CISA ha advertido anteriormente sobre las amenazas cibernéticas chinas contra Estados Unidos. Según la agencia, actores patrocinados por el estado chino buscan posicionarse dentro de redes de TI para lanzar ataques cibernéticos disruptivos o destructivos contra infraestructuras críticas de EE. UU. en caso de un conflicto con Washington.

Uno de estos grupos, Volt Typhoon, ha comprometido redes de infraestructuras críticas en sectores como energía, transporte, comunicaciones y sistemas de agua.

En noviembre de 2024, CISA y el FBI revelaron una amplia campaña de ciberespionaje llevada a cabo por hackers chinos, quienes lograron comprometer las redes de proveedores de telecomunicaciones estadounidenses.

Los atacantes robaron registros de llamadas y comunicaciones privadas de un número limitado de personas, principalmente involucradas en actividades gubernamentales o políticas.

El congresista Mark Green (R-Tenn.), presidente del Comité de Seguridad Nacional de la Cámara de Representantes, advirtió:

«La explotación por parte del Partido Comunista Chino de vulnerabilidades en los principales proveedores de servicios de internet es solo la más reciente señal de alarma, mientras Pekín, Teherán y Moscú buscan obtener ventajas estratégicas a través del ciberespionaje, la manipulación y la destrucción».