Anders als global agierende Banden, die breit streuen, verstehen die regionalen Akteure die geopolitische Lage genau, sagt Fabio Assolini, leitender Sicherheitsforscher im Global Research and Analysis Team (GReAT) von Kaspersky. Sie verfügten über eigene Vorgehensweisen und wendeten sich vom klassischen Betriebsmodell ab: „Diese Gruppen schwenken auf reine Erpressung um, überspringen die Verschlüsselungsphase vollständig und konzentrieren sich allein auf den Abfluss großer Datenmengen."
Während die Angreifer dieselben Methoden für den Erstzugriff und die seitliche Bewegung im Netzwerk nutzten wie große Ransomware-Gruppen, unterscheide sich ihr Verhalten nach dem Eindringen deutlich. „Statt Verschlüsselungssoftware einzusetzen, ziehen sie unbemerkt staatliche Datenbanken ab", so Assolini. Ihre Strategie setze auf psychologischen und öffentlichen Druck, vergleichbar mit der Vorgehensweise von Gruppen wie ShinyHunters.
Auch Peru, Mexiko und Brasilien gerieten im vergangenen Jahr ins Visier: Jedes dieser Länder verzeichnete laut Bitsight mindestens 90 Datenschutzvorfälle und zählt damit zu den zehn am stärksten betroffenen Nationen.
Emma Stevens, Threat-Intelligence-Forscherin bei Bitsight, verweist auf das politische Umfeld als zusätzlichen Faktor: „Wahlen, politische Differenzen, wirtschaftliche Instabilität und Sorgen über ausländischen Einfluss können staatliche Institutionen für Hacktivisten, staatsnahe Akteure und finanziell motivierte Gruppen attraktiver machen." Die jüngsten Aktivitäten in Uruguay, Paraguay, Argentinien und Mexiko deuteten auf wiederholte Angriffe auf den öffentlichen Sektor und bürgernahe Systeme hin, nicht auf Einzelfälle.
Ein erheblicher Teil der gemeldeten Vorfälle besteht laut Assolini jedoch aus Täuschung. So beanspruchte die Ransomware-Gruppe Bashe, auch bekannt als APT73, kürzlich die Kompromittierung der Grupo Petersen, eines an öffentlichen Bauprojekten in Argentinien beteiligten Ingenieur- und Bauunternehmens. Bashe gehöre zu den regionalen Gruppen, die Datenleck-Behauptungen häufig mit frei zugänglichen Daten fabrizierten oder Daten aus früheren Vorfällen wiederverwendeten. „Cyberkriminelle Gruppen recyceln häufig historische, öffentlich verfügbare Daten aus älteren, bekannten Vorfällen, mischen sie mit automatisch erzeugten Datensätzen und schreiben sie fälschlich einem neuen Unternehmensziel zu", erläutert Assolini.
Auch Antel spielte die Behauptungen von La Pampa Leaks herunter: Passwörter, Signatur-PINs, mit digitalen Zertifikaten verknüpfte private Schlüssel oder Zugangsdaten seien nicht kompromittiert worden, weshalb die genutzten Authentifizierungsmechanismen der Plattform nicht beeinträchtigt seien.
Den raschen Anstieg der Angriffe auf Behörden erklärt Assolini auch mit dem regulatorischen Druck: Immer mehr Länder der Region führten strenge Sicherheitsvorgaben ein. „Cyberkriminelle haben erkannt, dass die Einhaltung von Vorschriften als Waffe genutzt werden kann." Durch die Drohung, sensible Bürgerdaten zu veröffentlichen, spielten die Angreifer mit der Angst der Opfer vor hohen Bußgeldern, politischen Folgen und Reputationsschäden.
Stevens empfiehlt, Widerstandsfähigkeit dort aufzubauen, wo die Angreifer ansetzen: exponierte Dienste, schwache Identitätskontrollen, ungepatchte Schwachstellen und offene Ports. „Für lateinamerikanische CERTs sollten Identitätssicherheit und exponierte Infrastruktur an erster Stelle stehen, denn dort kann eine einzelne Schwachstelle zu einem weit größeren Vorfall im öffentlichen Sektor werden."
