Dos famosos grupos de hackers de habla rusa comparten infraestructura

11 febrero, 2019
12 Compartido 1,495 Visualizaciones

Analistas de Kaspersky Lab han identifcado coincidencias en ciberataques llevados a cabo por dos actores de amenazas: GreyEnergy, que se cree que será el sucesor de BlackEnergy, y el grupo de ciberespionaje Sofacy. Los dos actores utilizaron simultáneamente los mismos servidores, pero con un objetivo diferente en cada ocasión.

BlackEnergy y Sofacy están considerados como dos de los principales actores del panorama de ciberamenazas actual. Sus actividades a han causado consecuencias devastadoras en muchos países. En 2015, BlackEnergy lanzó uno de los ciberataques más famosos de la historia contra las instalaciones energéticas de Ucrania, provocando cortes de energía en todo el país. Por su parte, Sofacy causó estragos gracias a sus múltiples ataques dirigidos contra organizaciones gubernamentales y agencias de seguridad e inteligencia de EE.UU. y Europa.

El departamento ICS CERT de Kaspersky Lab, responsable de la investigación y eliminación de amenazas en sistemas industriales, encontró dos servidores, uno alojado en Ucrania y otro en Suecia, utilizados simultáneamente en junio de 2018 por ambos grupos. GreyEnergy utilizó estos servidores para almacenar archivos maliciosos en una campaña de phishing. Los usuarios descargaban el archivo malicioso al abrir un documento adjunto a un correo electrónico de phishing. Al mismo tiempo, Sofacy utilizó los servidores como centro de comando y control para su propio malware. El hecho que ambos grupos utilizaran los servidores durante un corto periodo de tiempo pero simultáneamente sugiere una infraestructura compartida. Este dato pudo confirmarse cuando se observó que ambos grupos atacaban a la misma compañía con correos de phishing y con apenas una semana de diferencia. Es más, ambos grupos utilizaron documentos de phishing similares, bajo la apariencia de emails remitidos por el Ministerio de Energía de la República de Kazajistán.

“La infraestructura comprometida y compartida por estos dos actores apunta potencialmente al hecho de que ambos no solo tienen el ruso como idioma común, sino que también cooperan entre sí. También da una idea de su capacidad y crea una imagen más nítida de sus posibles metas y objetivos potenciales. Estos hallazgos añaden otro elemento importante al conocimiento existente sobre GreyEnergy y Sofacy. Cuanto más sepa la industria sobre sus tácticas, técnicas y procedimientos, los expertos de seguridad podrán hacer mejor su trabajo a la hora de proteger a los clientes frente a ataques sofisticados”, dice Maria Garnaeva, analista de seguridad en Kaspersky Lab ICS CERT.

Para proteger a las empresas frente a los ataques de ambos grupos, Kaspersky Lab recomienda:

  • Ofrecer a los empleados formación en ciberseguridad, educarlos para que comprueben siempre la dirección del enlace y el correo electrónico del remitente antes de hacer clic.
  • Presentar iniciativas de concienciación en seguridad, incluida la formación con evaluaciones de competencias y entrenamiento mediante práctica de simulación de ataques.
  • Automatizar las actualizaciones de los sistemas operativos, el software de las aplicaciones y las soluciones de seguridad en los sistemas que forman parte de las TI, así como de la red industrial de la empresa.
  • Implementar una solución de protección dedicada, dotada de tecnologías anti-phishing basadas en conducta, tecnología anti-ataques dirigidos e información sobre amenazas, como Kaspersky Threat Management and Defense. Este tipo de soluciones son capaces de detectar y detener ataques dirigidos avanzados al analizar las anomalías de la red, y ofrecer a los equipos de ciberseguridad visibilidad total sobre la red y respuesta automática.

La versión completa del informe de Kaspersky Lab ICS CERT está disponible aquí.

Te podría interesar

Chema Alonso: “Un beso a un Sappo y te quedas en silencio”
Eventos
56 compartido2,586 visualizaciones
Eventos
56 compartido2,586 visualizaciones

Chema Alonso: “Un beso a un Sappo y te quedas en silencio”

José Luis - 11 junio, 2018

Chema Alonso, el mediático CDO de Telefónica detalló en Open Expo las funcionalidades de Sappo y ofreció consejos de seguridad.…

Sophos se posiciona en el Cuadrante Líderes de Gartner por séptimo año consecutivo
Actualidad
20 compartido2,216 visualizaciones
Actualidad
20 compartido2,216 visualizaciones

Sophos se posiciona en el Cuadrante Líderes de Gartner por séptimo año consecutivo

Mónica Gallego - 2 octubre, 2018

Sophos, experto en seguridad para protección de redes y endpoints, anunció hoy que una vez más se ha posicionado en el…

“Vamos a empezar a ver ataques más sofisticados en el Internet de las Cosas”
Actualidad
78 compartido2,177 visualizaciones
Actualidad
78 compartido2,177 visualizaciones

“Vamos a empezar a ver ataques más sofisticados en el Internet de las Cosas”

José Luis - 9 marzo, 2018

Entrevistamos a David González, uno de los máximos responsables de la empresa alemana G+D Mobile Security Iberia. Aprovechamos para conocer…

Deje un comentario

Su email no será publicado