Reveladas las Tácticas Avanzadas de las Campañas de Ciberespionaje
El Equipo de Investigación y Análisis Global de Kaspersky (GReAT) y el Equipo de Respuesta de Emergencia Cibernética de Sistemas de Control Industrial (ICS CERT) han revelado importantes desarrollos en las actividades de ciberespionaje que apuntan a empresas industriales del este de Europa utilizando el conjunto de herramientas MATA actualizado. Una investigación de varios meses descubrió técnicas de ataque sofisticadas, capacidades mejoradas de software malicioso actualizado y una nueva cadena de infección.
A principios de septiembre de 2022, se identificaron nuevas muestras de software malicioso asociadas al conjunto de herramientas MATA previamente vinculado al grupo Lazarus. Esta campaña, que apuntó a más de una docena de empresas del este de Europa, duró desde mediados de agosto de 2022 hasta mayo de 2023. Los atacantes utilizaron correos electrónicos de spear-phishing que explotaban la vulnerabilidad CVE-2021-26411 y descargaron archivos ejecutables maliciosos de Windows a través de navegadores web.
La cadena de infección de MATA tenía una estructura compleja que integraba instaladores, troyanos principales y robo de identidad con rootkits y procesos de autenticación sensibles. Las direcciones IP internas utilizadas como servidores de Comando y Control (C&C) revelaron un importante descubrimiento de que los atacantes habían integrado sus sistemas de control e infiltración en la infraestructura de las víctimas. Kaspersky alertó rápidamente a las organizaciones afectadas, lo que permitió una respuesta rápida.
Un ataque iniciado con un correo electrónico de spear-phishing para robar identidades en una fábrica infiltró la red, poniendo en peligro el controlador de dominio principal de la empresa. Los atacantes luego aprovecharon vulnerabilidades de seguridad y rootkits para tomar el control de estaciones de trabajo y servidores. En particular, comprometieron paneles de soluciones de seguridad para recopilar información y distribuir software malicioso en sistemas fuera de las organiz aciones subsidiarias y la infraestructura de dominio corporativo.
Vyacheslav Kopeytsev, Investigador Senior de Seguridad en Kaspersky ICS CERT, dijo: "Proteger el sector industrial de los ataques dirigidos requiere un enfoque vigilante que combine prácticas comprobadas de ciberseguridad con un pensamiento proactivo. Nuestros expertos en Kaspersky siguen la evolución de las APT y anticipan sus movimientos para detectar nuevas tácticas y herramientas. Nuestra dedicación a la investigación de ciberseguridad se deriva de nuestra promesa de proporcionar a las organizaciones información crítica sobre amenazas cibernéticas en constante evolución. Al estar informadas e implementar las últimas medidas de seguridad, las empresas pueden fortalecer sus defensas contra estos atacantes y proteger sus redes y sistemas".
Los investigadores de Kaspersky recomiendan tomar las siguientes medidas para evitar convertirse en un objetivo de ataques dirigidos, ya sea por actores de amenazas conocidos o desconocidos:
''Asegúrese de que su equipo SOC tenga acceso a la última inteligencia de amenazas. Kaspersky Threat Intelligence proporciona un punto de acceso común para la inteligencia de amenazas que incluye datos y conocimientos sobre ciberataques recopilados por Kaspersky durante más de 20 años. Fortalezca su equipo de ciberseguridad con la formación en línea de Kaspersky desarrollada por expertos de GReAT para combatir las últimas amenazas dirigidas. Soluciones especiales como Kaspersky Industrial CyberSecurity pueden servir como un recurso valioso para la evaluación continua de vulnerabilidades y la selección en el proceso efectivo de gestión de vulnerabilidades. Utilice soluciones EDR como Kaspersky Endpoint Detection and Response para la detección, investigación y corrección oportuna de incidentes a nivel de puntos finales. Además de la protección básica de puntos finales, implemente una solución de seguridad empresarial de alta calidad que detecte amenazas avanzadas a nivel de red tempranamente, como la Plataforma de Ataques Dirigidos Antifraude de Kaspersky. Dado que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social, capacite a su equipo en conciencia de seguridad y desarrolle habilidades prácticas. Esto se puede hacer, por ejemplo, a través de la Plataforma de Concienciación Automática de Seguridad de Kaspersky. Recomendamos que tome formación especializada como la Formación Forense Digital y Respuesta a Incidentes en el campo de ICS de Kaspersky ICS CERT para asegurarse de que su equipo, herramientas y procesos estén preparados para una respuesta sofisticada a incidentes en sus instalaciones.''
Kaspersky participará en la Cumbre de Analistas de Seguridad (SAS) 2023, que se llevará a cabo del 25 al 28 de octubre en Phuket, Tailandia, para profundizar en el futuro de la ciberseguridad.
La cumbre reunirá a destacados investigadores en la lucha contra malware, agencias de aplicación de la ley a nivel global, equipos de respuesta a incidentes de TI y ejecutivos de alto nivel de la industria financiera, tecnología, salud, educación y sector público de todo el mundo.
Espaniol News Agency Espaniol News Agency