La actividad de amenazas persistentes avanzadas (APT) en el primer trimestre de 2020 indica un aumento en la infección y distribución de malware

A través de plataformas móviles, con algunas campañas centradas exclusivamente en estas plataformas. Al mismo tiempo, crece la actividad en Asia, en particular entre los nuevos actores, mientras que los actores tradicionales más avanzados se vuelven mucho más selectivos en la forma de llevar a cabo sus operaciones. Estas y otras tendencias de APT en todo el mundo se recogen en el último resumen trimestral de inteligencia de amenazas de Kaspersky.

Los informes del primer trimestre de 2020 confirman el incremento de la actividad en Asia con una variedad de ataques en el sudeste asiático, Corea y Japón. Kaspersky ha detectado nuevos grupos de APT con campañas creativas y, en ocasiones, de bajo presupuesto, que han establecido su presencia junto a actores conocidos, como CactusPete y Lazarus. 

Además, se espera un aumento del interés por las plataformas móviles como medio de ataque y distribución de malware. Kaspersky ha compartido recientemente informes sobre varias campañas centradas en ataques móviles, como el de tipo watering hole, LightSpy, dirigido a usuarios Hong Kong y que infectaba dispositivos iOS y Android, así como una campaña de espionaje de Android denominada PhantomLance, dirigida a objetivos del sudeste asiático. Cabe destacar que ambas utilizaron con éxito diversas plataformas online, desde foros y redes sociales hasta la tienda de aplicaciones Google Play, lo que demuestra un enfoque inteligente de la distribución de malware.

Los actores APT que tienen como objetivo Asia no son los únicos que desarrollaron implantes móviles. Por ejemplo, TransparentTribe llevó a cabo una campaña con un nuevo módulo llamado «USBWorm», dirigida a usuarios de Afganistán e India, en la que desarrolló un nuevo implante diseñado para infectar dispositivos Android. El malware utilizado es una versión modificada de Android «AhMyth» Android RAT, una pieza de malware de código abierto disponible en GitHub.

Además, diferentes grupos de APT han utilizado la pandemia COVID-19 para llamar la atención de las víctimas, pero esto no ha supuesto un cambio significativo en cuanto a técnicas, tácticas y procedimientos, aparte del uso de un tema popular para sacar provecho de los usuarios vulnerables. El tema fue utilizado por actores de APT como Kimsuky, Hades y DarkHotel.

«Las actividades de APT no se han detenido durante la pandemia. En realidad, distintos actores de amenazas han sacado provecho de ella de diferentes maneras, algunos incluso tratando de mejorar su reputación al anunciar que por el momento no se dirigirían a instituciones sanitarias. No obstante, nuestras conclusiones sugieren que los principales factores que impulsan la actividad APT siguen siendo tanto el beneficio financiero como la geopolítica, en particular para los actores surgidos durante los dos últimos años y que actualmente están consolidando su condición de delincuentes persistentes. La telefonía móvil está ganando más terreno en las nuevas campañas, a medida que surgen nuevos actores con soluciones creativas, y la actividad de los actores más experimentados se ha vuelto casi invisible. Posiblemente, esto sea consecuencia de las circunstancias cambiantes a las que todos nos enfrentamos. Como de costumbre, debo añadir que no tenemos una visibilidad total, y habrá actividad que no esté todavía en nuestro radar ni conozcamos plenamente, por lo que la protección contra las amenazas conocidas y desconocidas sigue siendo vital para todos», señala Vicente Díaz, Investigador Principal de Seguridad del Equipo de Investigación y Análisis Global de Kaspersky.

El informe de tendencias APT del primer trimestre de 2020 resume las conclusiones de los informes de inteligencia de amenazas de Kaspersky (sólo para suscriptores), e incluye, asimismo, datos de los Indicadores de Compromiso (IOC) y las reglas YARA, con el fin de ayudar en la investigación forense y caza de malware. 

Para evitar ser víctima de un ataque dirigido por un actor de amenaza conocido o desconocido, los investigadores de Kaspersky recomiendan:

• Proporcionar a su equipo SOC acceso a la última Inteligencia de Amenazas para mantenerlo al día de las nuevas herramientas, técnicas y tácticas utilizadas por los actores de amenazas y cibercriminales.
• Para la detección, investigación y la reparación oportuna de incidentes a nivel endpoint, implemente soluciones EDR.
• Asegúrese de que su solución de seguridad para endpoints ofrece protección para dispositivos móviles. Debe incluir protección contra las amenazas de la Web y el malware dirigido a plataformas móviles, así como control de aplicaciones y dispositivos. 
• Además de adoptar una protección para endpoints, implemente una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de red en una etapa temprana.
• Dado que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social, implante una solución de concienciación sobre seguridad y enseñe habilidades prácticas.