Un reciente informe de Performanta (del que no he podido localizar copia para lectura en abierto, pero del que he conseguido referencia a través de este artículo en Techradar Pro) apunta a que los cibercriminales están probando sus creaciones de malware (como ransomware) en países en vías de desarrollo antes de pasar a utilizarlo en países del primer mundo (Europa y Norteamérica principalmente).
No obstante, esta opinión no es compartida por toda la comunidad del mundo de la ciberseguridad; por ejemplo, Sherrod DeGrippo (director de estrategia de inteligencia de amenazas de Microsoft) argumenta que, en realidad, lo que sucede es que las variantes de malware y ransomware se han ido abaratando, permitiendo con ello que los cibercriminales establecidos en los países en vías de desarrollo, puedan orquestar sus propios ataques.
Por otro lado, Hanah-Marie Darley (directora de investigación de amenazas de Darktrace) sostiene también que la reducción de precios del malware (y, en concreto, del ransomware Medusa) ha conllevado un incremento en los ataques en estos mismos países.
Retomando el informe de Performanta, los investigadores de esta compañía dedicada al ámbito de la ciberseguridad aducen el incremento en los ciberataques en países del tercer mundo, a una menor concienciación sobre los peligros de los cibercriminales y, consecuentemente, una menor preparación al respecto en dichos países, factores que los han hecho atractivos como campo de pruebas, aunque no son los escenarios en los que las bandas de delincuentes que actúan online pueden sacar mayor “tajada”, por lo que los utilizan como banco de pruebas antes de pasar a atacar objetivos que están mejor protegidos pero son más rentables.
Según el mismo informe, organizaciones en África, América Latina y Asia, son frecuentemente las primeras afectadas por ataques de malware, que luego se extienden a Europa y América del Norte. Los investigadores identificaron ataques en Senegal, Chile, Colombia y Argentina utilizando cepas de malware que posteriormente se encontraron en sistemas en Europa y Norteamérica.
Precisamente el ransomware Medusa que antes mencionaba, consiste en una variante que inicialmente se detectó en Sudáfrica, Senegal y Tonga y, más tarde, afectó a organizaciones en los EEUU, Reino Unido, Canadá, Italia y Francia. Durante el año 2023, se reportaron aproximadamente cien casos de ataques con Medusa.
Nadir Izrael, director técnico del grupo de ciberseguridad Armis, comentó a Ars Technica que hay evidencias en forma de conversaciones registradas entre cibercriminales discutiendo un exploit para una nueva vulnerabilidad a principios de este año, apuntando específicamente a algunos servidores expuestos en países del tercer mundo para probar la fiabilidad de dicho exploit.
Las trampas online de Armis confirmaron esta estrategia unas semanas más tarde, al detectar a los actores de amenazas dirigiéndose primero a empresas en el sudeste asiático.