Dos famosos grupos de hackers de habla rusa comparten infraestructura

11 febrero, 2019
12 Compartido 1,685 Visualizaciones

Analistas de Kaspersky Lab han identifcado coincidencias en ciberataques llevados a cabo por dos actores de amenazas: GreyEnergy, que se cree que será el sucesor de BlackEnergy, y el grupo de ciberespionaje Sofacy. Los dos actores utilizaron simultáneamente los mismos servidores, pero con un objetivo diferente en cada ocasión.

BlackEnergy y Sofacy están considerados como dos de los principales actores del panorama de ciberamenazas actual. Sus actividades a han causado consecuencias devastadoras en muchos países. En 2015, BlackEnergy lanzó uno de los ciberataques más famosos de la historia contra las instalaciones energéticas de Ucrania, provocando cortes de energía en todo el país. Por su parte, Sofacy causó estragos gracias a sus múltiples ataques dirigidos contra organizaciones gubernamentales y agencias de seguridad e inteligencia de EE.UU. y Europa.

El departamento ICS CERT de Kaspersky Lab, responsable de la investigación y eliminación de amenazas en sistemas industriales, encontró dos servidores, uno alojado en Ucrania y otro en Suecia, utilizados simultáneamente en junio de 2018 por ambos grupos. GreyEnergy utilizó estos servidores para almacenar archivos maliciosos en una campaña de phishing. Los usuarios descargaban el archivo malicioso al abrir un documento adjunto a un correo electrónico de phishing. Al mismo tiempo, Sofacy utilizó los servidores como centro de comando y control para su propio malware. El hecho que ambos grupos utilizaran los servidores durante un corto periodo de tiempo pero simultáneamente sugiere una infraestructura compartida. Este dato pudo confirmarse cuando se observó que ambos grupos atacaban a la misma compañía con correos de phishing y con apenas una semana de diferencia. Es más, ambos grupos utilizaron documentos de phishing similares, bajo la apariencia de emails remitidos por el Ministerio de Energía de la República de Kazajistán.

“La infraestructura comprometida y compartida por estos dos actores apunta potencialmente al hecho de que ambos no solo tienen el ruso como idioma común, sino que también cooperan entre sí. También da una idea de su capacidad y crea una imagen más nítida de sus posibles metas y objetivos potenciales. Estos hallazgos añaden otro elemento importante al conocimiento existente sobre GreyEnergy y Sofacy. Cuanto más sepa la industria sobre sus tácticas, técnicas y procedimientos, los expertos de seguridad podrán hacer mejor su trabajo a la hora de proteger a los clientes frente a ataques sofisticados”, dice Maria Garnaeva, analista de seguridad en Kaspersky Lab ICS CERT.

Para proteger a las empresas frente a los ataques de ambos grupos, Kaspersky Lab recomienda:

  • Ofrecer a los empleados formación en ciberseguridad, educarlos para que comprueben siempre la dirección del enlace y el correo electrónico del remitente antes de hacer clic.
  • Presentar iniciativas de concienciación en seguridad, incluida la formación con evaluaciones de competencias y entrenamiento mediante práctica de simulación de ataques.
  • Automatizar las actualizaciones de los sistemas operativos, el software de las aplicaciones y las soluciones de seguridad en los sistemas que forman parte de las TI, así como de la red industrial de la empresa.
  • Implementar una solución de protección dedicada, dotada de tecnologías anti-phishing basadas en conducta, tecnología anti-ataques dirigidos e información sobre amenazas, como Kaspersky Threat Management and Defense. Este tipo de soluciones son capaces de detectar y detener ataques dirigidos avanzados al analizar las anomalías de la red, y ofrecer a los equipos de ciberseguridad visibilidad total sobre la red y respuesta automática.

La versión completa del informe de Kaspersky Lab ICS CERT está disponible aquí.

Te podría interesar

La identificación de ataques de ‘phishing’ y la protección de datos son las áreas de ciberseguridad más problemáticas para los usuarios finales
Actualidad
17 compartido1,366 visualizaciones
Actualidad
17 compartido1,366 visualizaciones

La identificación de ataques de ‘phishing’ y la protección de datos son las áreas de ciberseguridad más problemáticas para los usuarios finales

Vicente Ramírez - 12 julio, 2019

Según un estudio de Proofpoint, los encuestados respondieron de forma incorrecta a una de cada cuatro preguntas sobre ciberamenazas de…

Colaboración entre FinTechs: 3 preguntas que responden al origen de esta tendencia
FINTECH
34 compartido1,478 visualizaciones
FINTECH
34 compartido1,478 visualizaciones

Colaboración entre FinTechs: 3 preguntas que responden al origen de esta tendencia

José Luis - 21 marzo, 2018

Artículo de Jèrôme Traisnel, CEO y co-fundador de SlimPay. En los últimos meses, numerosas Fintechs han anunciado colaboraciones con otras Fintechs…

Contraseñas: el ‘talón de Aquiles’ de los usuarios en Internet
Actualidad
20 compartido1,353 visualizaciones1
Actualidad
20 compartido1,353 visualizaciones1

Contraseñas: el ‘talón de Aquiles’ de los usuarios en Internet

Vicente Ramírez - 30 enero, 2019

Hace unos días se hacía publica la noticia de que cerca de 800 millones de direcciones de correo electrónico habían…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.