Lazarus pone el foco en los investigadores de seguridad para ciberatacarlos mediante el uso de puertas traseras y troyanos de acceso remoto

2021, al que le queda ya poco para capitular, está siendo un año para olvidar en relación a los ciberataques. Si 2020 nos pareció malo, este se ha propuesto superarlo con creces. Las ciberamenazas han alcanzado un punto crítico, con varios grupos causando estragos a empresas y países por igual. Entre esos grupos de ciberdelincuentes destaca LAZARUS, quien se encuentra muy activo últimamente. Según ha informado ESET, por medio del investigador de seguridad Anton Cherepanov, el grupo parece estar atacando de nuevo a investigadores de seguridad. El modus operandi de Lazarus es el uso de puertas traseras y troyanos de acceso remoto. Además, desde ESET aseguran que están usando una versión pirateada con troyanos del software de ingeniería inversa IDA Pro. Para los que no lo conozcan, decir que es un desensamblador diseñado traducir ejecutables a lenguaje ensamblador. Lazarus pone el foco en los investigadores de seguridad.

La información publicada por ESET revela que IDA PRO 7.5 fue combinado con dos componentes maliciosos: «win_fw.dll», que se ejecuta durante la instalación de la aplicación; el otro fue «idahelper.dll», que se ejecuta tras instalar el primero. Una vez instalados ambos archivos de lectura, idahelper.dll se conecta a un servidor remoto para recuperar cargas útiles. Una de las particularidades del dominio es que se encuentra vinculado a una campaña similar orquestada por Corea del Norte. Todo el mundo sabe que el país asiático lleva tiempo ciberatacando a profesionales de la seguridad desde hace tiempo. Está información fue divulgada a principios de año por el Grupo de Análisis de Amenazas de Google. Uno de los objetivos fue explotar una vulnerabilidad ZEO DAY encontrada en Internet Explorer, la cual fue corregida por Microsoft rápidamente con una actualización. La ciber-guerra cuenta con más adeptos cada vez, aumentando la inseguridad en las redes.

Las amenazas que proceden de Asia

Corea del Norte no es el único país que está detrás de las mayores campañas de ciberataques que estamos experimentando. Asia es una zona especialmente activa, con China como el principal cabecilla de todos ellos. La cantidad de ciberataques que proceden de estos dos países, a los que podríamos añadir Rusia por localización geográfica, es cada vez mayor. La situación en 2021 se ha tornado bastante peligrosa, viéndose casos tan graves como los ciberataques a infraestructuras críticas o cadenas de suministros. Ciberataques orquestados con motivos varios por los grupos: financiación, generar caos, etc. Por motivos como estos, a día de hoy es vital que las empresas y países inviertan lo máximo posible en ciberseguridad para evitar casos como los de Kaseya, Colonial Pipeline y otros. Muchos países se han movilizado ya para mejorar sus defensas informáticas creando toda clase de iniciativas destinadas a órganos nacionales y empresas.