Dos incidentes de APT relacionados con la investigación de la vacuna

19 febrero, 2021
8 Compartido 1,231 Visualizaciones

Los expertos indicaron que las actividades pueden ser atribuidas al grupo Lazarus

En otoño de 2020, los investigadores de Kaspersky identificaron dos incidentes APT que tuvieron como objetivo entidades relacionadas con la investigación sobre la COVID-19, un organismo perteneciente a un Ministerio de Sanidad y una compañía farmacéutica.

A medida que la pandemia y las medidas restrictivas en todo el mundo continuaban, se intentó acelerar el desarrollo de la vacuna a través de cualquier medio disponible. Aunque la mayor parte del trabajo se realizó con buenas intenciones, ha existido otra cara de la moneda, ya que algunos actores de amenaza han tratado de sacar provecho para su propio beneficio. Los expertos de Kaspersky, en su continuo rastreo de las campañas del grupo Lazarus dirigidas a diversas industrias, han descubierto que este grupo estuvo detrás de un par de incidentes relacionados con la COVID-19 hace sólo un par de meses. 

El primero fue un ataque contra un organismo de un Ministerio de Sanidad. El 27 de octubre de 2020 dos servidores de Windows de la organización fueron comprometidos con un sofisticado malware, viejo conocido por Kaspersky y denominado ‘wAgent’. Un análisis más detallado ha demostrado que el malware wAgent utilizado contra esta entidad tiene el mismo esquema de infección que el que el grupo Lazarus utilizó anteriormente en los ataques a empresas de criptomoneda.

El segundo incidente involucró a una compañía farmacéutica. Según la telemetría de Kaspersky, la compañía sufrió una brecha de datos el 25 de septiembre de 2020. La empresa se encuentra desarrollando una vacuna contra la COVID-19 y también está autorizada para producirla y distribuirla. Esta vez, el atacante desplegó el malware Bookcode, previamente reportado por el proveedor de seguridad por su conexión con Lazarus en un ataque a la cadena de suministro a través de una compañía de software surcoreana. Los investigadores de Kaspersky también fueron testigos de cómo el grupo Lazarus llevó a cabo un spear-phishing o comprometió estratégicamente los sitios web con el fin de distribuir el malware de Bookcode en el pasado.

Tanto el malware wAgent como el Bookcode, utilizados en ambos ataques, tienen funcionalidades similares, como una puerta trasera con funciones completas. Después de desplegar la carga útil final, el operador del malware puede controlar la máquina de la víctima de casi cualquier manera que desee.

Relación del reciente ataque del grupo de Lazarus

Dadas las coincidencias observadas, los investigadores de Kaspersky confirman con gran seguridad que ambos incidentes están conectados con el grupo Lazarus. La investigación sigue en curso.

«Estos dos incidentes revelan el interés del grupo Lazarus en la inteligencia relacionada con COVID-19. Aunque este grupo es conocido principalmente por sus actividades financieras, es un buen recordatorio de que también puede estar detrás de la investigación estratégica. Creemos que todas las entidades que participan actualmente en actividades como la investigación de vacunas o la gestión de crisis deberían estar en alerta máxima por si se producen ciberataques», comenta Seongsu Park, experto en seguridad de Kaspersky.

Para mantenerse a salvo de amenazas sofisticadas, Kaspersky recomienda tomar las siguientes medidas de seguridad:

  • Proporcione a su equipo SOC acceso a la última Inteligencia de Amenazas (IA). 
  • Proporcione a su personal una formación básica de higiene en ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.
  • Vincula el código malicioso descubierto con las bases de datos de malware y, basándose en las similitudes del código, lo atribuye a campañas APT previamente reveladas.
  • Para la detección a nivel de endpoint, la investigación y la reparación oportuna de incidentes, implemente soluciones EDR.
  • Además de adoptar una protección esencial para endpoints, implemente una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de red en una etapa temprana.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

¿Cómo impedir que el aspirador Roomba comparta el mapa de tu casa?
Soluciones Seguridad
1093 visualizaciones
Soluciones Seguridad
1093 visualizaciones

¿Cómo impedir que el aspirador Roomba comparta el mapa de tu casa?

Redacción - 31 julio, 2017

Tras el reciente revuelo originado por la entrevista de un ejecutivo de Roomba en la que indicaba que los mapas…

AEON y Fujitsu lanzan una prueba de campo para pagos sin tarjeta, usando tecnología de autenticación biométrica
Actualidad
10 compartido2,167 visualizaciones1
Actualidad
10 compartido2,167 visualizaciones1

AEON y Fujitsu lanzan una prueba de campo para pagos sin tarjeta, usando tecnología de autenticación biométrica

Vicente Ramírez - 5 septiembre, 2018

A partir de septiembre de 2018, la prueba se llevará a cabo en algunas de las  tiendas Ministop AEON Financial Service,…

Mundo Hacker Academy convertirá a Madrid en el epicentro del conocimiento cibernético
Actualidad
35 compartido2,337 visualizaciones
Actualidad
35 compartido2,337 visualizaciones

Mundo Hacker Academy convertirá a Madrid en el epicentro del conocimiento cibernético

Vicente Ramírez - 15 octubre, 2018

En CyberSecurity News seremos Media Partner de Mundo Hacker Academy y retransmitiremos las citas más destacadas de la jornada a través de…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.