Ciberespionaje, falsas fugas de datos y desinformación dominan el panorama de APTs

8 agosto, 2019
15 Compartido 1,160 Visualizaciones

La actividad de amenazas persistentes avanzadas (APT) durante el segundo trimestre de 2019 incluyó una serie de operaciones dirigidas u originadas en Oriente Medio y Corea del Sur.

Gran parte de la actividad se centró en el ciberespionaje o en el beneficio económico, pero al menos una campaña parece destinada a difundir desinformación. En mayo, los investigadores de Kaspersky analizaron la filtración online de activos aparentemente de ciberespionaje pertenecientes a una entidad iraní, y concluyeron que el actor detrás del mismo podría ser Hades, un grupo también vinculado a ExPetr y al ciberataque de los Juegos Olímpicos de Invierno de 2018. Estas y otras tendencias de APT en todo el mundo se recogen en el último resumen trimestral de información sobre amenazas de Kaspersky.

El resumen trimestral de tendencias de APT forma parte de la investigación privada de Kaspersky sobre inteligencia de amenazas, así como de otras fuentes, y destaca los principales desarrollos que los investigadores creen que todo el mundo debería conocer.

Durante el segundo trimestre de 2019, los investigadores de Kaspersky observaron actividad interesante en Oriente Medio. Esto incluía una serie de filtraciones online de activos tales como código, infraestructura, datos de grupos y de aparentes víctimas, supuestamente llevadas a cabo por los conocidos actores de amenazas de habla persa, OilRig y MuddyWater. Las fugas provenían de diferentes fuentes, pero todas aparecieron con unas pocas semanas de diferencia. La tercera filtración, que aparentemente expuso información relacionada con una entidad llamada «Instituto RANA», fue publicada en persa en un sitio web llamado «Realidad Oculta». El análisis de los investigadores de Kaspersky sobre los materiales, la infraestructura y el sitio web dedicado, los llevó a la conclusión de que esta fuga podría estar relacionada con el actor de amenazas Hades. Hades es el grupo que está detrás del incidente del Olympic Destroyer de los Juegos Olímpicos de Invierno de 2018, así como del gusano ExPetr, y de varias campañas de desinformación como la filtración en 2017 de correos electrónicos relacionados con la campaña electoral presidencial de Emmanuel Macron en Francia. 

Otras actividades adicionales de APT en el segundo trimestre incluye: 

  • Los grupos de habla rusa siguen perfeccionando y lanzando nuevas herramientas y operaciones. Por ejemplo, desde marzo, Zebrocy parece haber centrado su atención en los eventos, funcionarios, diplomáticos y militares relacionados con Pakistán/India, así como en el mantenimiento del acceso continuo a las redes locales y remotas del gobierno de Asia Central. Los ataques de Turla continuaron presentando un conjunto de herramientas en rápida evolución y, un caso notable, el aparente secuestro de la infraestructura perteneciente a OilRig.

 

  • La actividad relacionada con Corea fue elevada; mientras que en el resto del sudeste asiático se registró más tranquilidad que en trimestres anteriores. Entre las operaciones dignas de mención figuran un ataque del grupo Lazarus contra una empresa de juegos de azar para teléfonos móviles en Corea del Sur y una campaña de BlueNoroff, el subgrupo Lazarus, contra un banco ubicado en Bangladesh y software de criptografía de divisas. 

 

  • Los investigadores también observaron una activa campaña dirigida a los organismos gubernamentales de Asia Central dirigida por el grupo chino de APT SixLittleMonkeys, utilizando una nueva versión del troyano Microcin y una RAT que Kaspersky llama HawkEye.  

«El segundo trimestre de 2019 muestra lo turbio y confuso que se ha vuelto el panorama de las amenazas, y con qué frecuencia algo no es lo que parece. Entre otras cosas, vimos a un actor de amenazas secuestrando la infraestructura de un grupo más pequeño, y a otro grupo aprovechándose de una serie de filtraciones online para difundir desinformación y socavar la credibilidad de los activos expuestos. La industria de la seguridad se enfrenta a una tarea cada vez mayor de ver más allá del secretismo para encontrar los datos y la información sobre amenazas en los que se basa la ciberseguridad. Como siempre, es importante añadir que nuestra visibilidad no es completa, y que habrá actividades que aún no están en nuestro radar o que no entendemos del todo, por lo que la protección contra amenazas conocidas y desconocidas sigue siendo vital para todos», apunta Vicente Díaz, Investigador Principal de Seguridad del Equipo de Investigación y Análisis Global de Kaspersky.

El informe de tendencias de APT resume los hallazgos de los informes de inteligencia de amenazas. Los informes completos solo están disponibles bajo suscripción e incluyen datos de Indicadores de Compromiso (COI) y reglas YARA para ayudar en la investigación forense y la búsqueda de malware. Para obtener más información, póngase en contacto con: intelreports@kaspersky.com

Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, Kaspersky recomienda implementar las siguientes medidas:

  • Proporcione a su equipo SOC acceso a la información más reciente sobre amenazas para mantenerse al día sobre las herramientas, técnicas y tácticas nuevas y emergentes utilizadas por los actores de amenazas y los ciberdelincuentes.
  • Para la detección, investigación y remediación de incidentes a nivel de endpoints, implemente soluciones EDR.
  • Además de adoptar la protección esencial de los endpoints, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas a nivel de red en una fase temprana.
  • Como muchos de los ataques dirigidos se inician con phishing u otras técnicas de ingeniería social, introduzca la formación en materia de seguridad y enseñe habilidades prácticas.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Inteligencia Artificial, Ciberseguridad y GDPR, a debate en DES2018
Actualidad
12 compartido1,017 visualizaciones
Actualidad
12 compartido1,017 visualizaciones

Inteligencia Artificial, Ciberseguridad y GDPR, a debate en DES2018

Vicente Ramírez - 3 mayo, 2018

DES | Digital Enterprise Show 2018 reunirá del 22 al 24 de mayo en  Madrid a más de 18.000 profesionales…

Xerox presenta en DES su estrategia para mejorar la experiencia del cliente en un mundo sin barreras entre lo físico y lo digital
Actualidad
9 compartido838 visualizaciones
Actualidad
9 compartido838 visualizaciones

Xerox presenta en DES su estrategia para mejorar la experiencia del cliente en un mundo sin barreras entre lo físico y lo digital

Vicente Ramírez - 21 mayo, 2018

Durante el DES. se mostrará cuál es la nueva visión de Xerox para tender puentes y gestionar el flujo de…

Chema Alonso: «Un beso a un Sappo y te quedas en silencio»
Eventos
56 compartido2,833 visualizaciones
Eventos
56 compartido2,833 visualizaciones

Chema Alonso: «Un beso a un Sappo y te quedas en silencio»

José Luis - 11 junio, 2018

Chema Alonso, el mediático CDO de Telefónica detalló en Open Expo las funcionalidades de Sappo y ofreció consejos de seguridad.…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.