Доклад, подготовленный Digi Americas Alliance, Duke University Pratt School of Engineering и Recorded Future, системно раскрывает кибер-риски финансового сектора Латинской Америки. Используя граф разведданных Recorded Future и анализ открытых инцидентов, авторы картируют тактики, техники и процедуры (TTP) пяти ключевых групп — CL0P, LockBit, Mispadu, Horabot и Blind Eagle, воздействующих на банки, страховые и платёжные платформы региона.

Проблематика отчёта строится на тревожной статистике: в 2023 г. 79 % успешных атак на организации в Латинской Америке пришлось на программы-вымогатели против 53 % глобально, при росте мировых утечек данных на 34,5 % и всплеске ransomware на 84 %. Регион аккумулирует 12 % общемировых киберинцидентов, причём Бразилия, Мексика и Аргентина совокупно дают 44 % жертв. При этом лишь 7 из 32 стран имеют планы защиты критической инфраструктуры, а функционирующие CSIRT существуют только в 20 государствах, что резко снижает готовность к реагированию.

Корневыми причинами уязвимости признаются хроническое недофинансирование (< 1 % ВВП), дефицит кадров, устаревшие ИТ-системы и нормативные лакуны. Атакующие усиливают эффект, применяя модель «ransomware-as-a-service», эксплуатируя цепочки поставок и организуя фишинговые кампании, адаптированные к национальным налоговым и банковским реалиям.

Методология отчёта основывается на «threat-actor-informed» подходе: TTP агрессоров сопоставляются с фреймворком MITRE ATT&CK, после чего формируются целевые контрмеры; таким образом организациям предлагается перейти от реактивной обороны к проактивному контролю поверхности атаки.

Итогом стали двенадцать стратегических рекомендаций, охватывающих региональные технические меры, создание отраслевых сетей CSIRT, межграничное реагирование, обучение персонала, контроль третьих сторон, унификацию отчётности, обмен разведданными и развитие нормативной базы. В практическом плане доклад предлагает внедрение регионально-специфичных базовых линий безопасности, Zero Trust-сегментации, обязательной оценки третьих сторон и регулярных учений по сценарию многоэтапного вымогательного вторжения. Комбинируя автоматизированный мониторинг Recorded Future с отраслевыми CSIRT, организации получают непрерывную индикацию компрометации и сокращают время обнаружения вплоть до первых тридцати минут после инициального взлома, минимизируя финансовый ущерб потерь.