AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**FBI Dallas confisca casi 23 Bitcoins a operador de ransomware Chaos tras ataques a empresas tejanas**

admin

### 1. Introducción

En una operación reciente que marca un nuevo avance en la lucha contra la ciberdelincuencia, la oficina del FBI en Dallas ha logrado incautar cerca de 23 Bitcoins (valorados en torno a 1,5 millones de euros a precios actuales) procedentes de una dirección de criptomonedas vinculada a un operador del ransomware Chaos. Este actor está relacionado con ataques y cobros de extorsión dirigidos a organizaciones empresariales de Texas. La acción policial, que se suma a la creciente tendencia de intervención en transacciones de criptoactivos, arroja luz sobre las tácticas y rutas financieras de los grupos de ransomware modernos.

### 2. Contexto del Incidente

El ransomware Chaos, detectado por primera vez en 2021, se ha posicionado como una variante modular y en constante evolución, utilizada tanto por actores de amenazas consolidados como por operadores noveles gracias a su fácil personalización y distribución en foros clandestinos. El grupo objetivo de esta operación ejecutó múltiples campañas dirigidas principalmente a empresas medianas y grandes del sector privado tejano, logrando cifrar activos críticos y exigir rescates en Bitcoin.

Las investigaciones del FBI se iniciaron tras una oleada de incidentes a finales de 2023 y principios de 2024, en la que varias compañías denunciaron la inhabilitación de sus servicios y la recepción de notas de rescate firmadas explícitamente por Chaos. El seguimiento de los pagos y las trazas en la blockchain permitió identificar una wallet específica, ahora bajo custodia federal.

### 3. Detalles Técnicos: CVEs, Tácticas y Artefactos

#### Vulnerabilidades y Vectores de Ataque

Los actores detrás de Chaos han explotado vulnerabilidades conocidas en software empresarial, priorizando CVEs de alto impacto como:

– **CVE-2023-23397** (Microsoft Outlook, ejecución remota de comandos)
– **CVE-2023-0669** (GoAnywhere MFT, RCE)
– **CVE-2022-30190** (Follina, explotación de Microsoft Windows Support Diagnostic Tool)

Una vez obtenida la intrusión inicial –a menudo mediante spear phishing o explotación de servicios expuestos– los adversarios desplegaron cargas útiles empaquetadas con Chaos, que, al ejecutarse, cifraban datos y alteraban extensiones de archivo.

#### TTPs y Frameworks

Según la matriz MITRE ATT&CK, las técnicas más observadas incluyen:

– **Initial Access**: T1566.001 (Spearphishing Attachment)
– **Execution**: T1059 (Command and Scripting Interpreter)
– **Command and Control**: T1071.001 (Web Protocols)
– **Impact**: T1486 (Data Encrypted for Impact)

Se ha constatado el uso de herramientas como **Metasploit** para la explotación inicial y **Cobalt Strike** para el movimiento lateral y persistencia. Los indicadores de compromiso (IoCs) identificados incluyen hashes de los ejecutables de Chaos, direcciones IP usadas en las comunicaciones C2 y la wallet de Bitcoin ahora incautada.

### 4. Impacto y Riesgos

La incautación afecta directamente a los flujos financieros de los operadores de Chaos, dificultando la reinversión en infraestructura maliciosa y el pago de afiliados. El análisis forense revela que los pagos extorsivos procedían en su mayoría de medianas empresas del sector logístico y sanitario de Texas, con pérdidas directas estimadas superiores a los 2 millones de dólares.

El riesgo para las organizaciones sigue siendo elevado, dada la adaptabilidad de Chaos y la tendencia de los atacantes a aprovechar vulnerabilidades de día cero y credenciales expuestas. Además, el uso de criptomonedas dificulta la trazabilidad y recuperación de fondos sin intervención especializada.

### 5. Medidas de Mitigación y Recomendaciones

Se recomienda a las empresas:

– Aplicar parches de seguridad de manera inmediata, especialmente sobre CVEs críticos explotados por Chaos.
– Fortalecer la monitorización de logs y el análisis de comportamiento en endpoints (EDR).
– Segmentar redes y restringir el acceso a servicios expuestos.
– Realizar simulacros de incidentes y formación continua en phishing.
– Mantener copias de seguridad offline y verificar su integridad periódicamente.

La colaboración con fuerzas de seguridad y la notificación temprana de incidentes resulta crucial, tanto para cumplir con la **GDPR** (artículos 33 y 34) como para ajustarse a los requisitos de la nueva directiva europea **NIS2**.

### 6. Opinión de Expertos

Analistas de ciberseguridad consideran la incautación como un hito significativo, aunque advierten de que la resiliencia y descentralización de los ecosistemas de ransomware dificultan la erradicación completa de amenazas. “La clave está en atacar la economía subyacente de los grupos criminales”, señala un experto del sector financiero digital, destacando la colaboración internacional como elemento disuasorio.

### 7. Implicaciones para Empresas y Usuarios

El caso pone de relieve la necesidad de reforzar las capacidades de threat intelligence y la respuesta ante incidentes. Las empresas deben revisar sus políticas de gestión de pagos de rescate y considerar el impacto reputacional y legal de estos incidentes. Para usuarios finales, la concienciación sobre los riesgos del phishing y la gestión segura de contraseñas sigue siendo fundamental.

El sector observa además una tendencia al alza en la cooperación entre agencias estadounidenses y europeas, alineando los marcos legales nacionales con los requisitos de la **NIS2** y la persecución de activos digitales ilícitos.

### 8. Conclusiones

La operación del FBI Dallas representa una acción efectiva contra la infraestructura financiera de operadores de ransomware como Chaos, aunque el ecosistema criminal sigue adaptándose rápidamente. La prevención técnica, la intervención legal y la concienciación del usuario serán claves para mitigar el impacto de este tipo de amenazas.

(Fuente: www.bleepingcomputer.com)