El mes de septiembre supone la vuelta al trabajo para muchas personas y, aunque muchos ciberdelincuentes no se toman vacaciones, es cierto que, durante el mes pasado hemos visto cierto repunte, al menos, en lo que se refiere a ciertos tipos de amenazas. También ha sido un mes prolífico en lo que se refiere a las publicaciones realizadas por los investigadores de ESET, incluyendo alguna que afecta directamente a España.
Campañas APT desveladas por ESET
Los ciberataques protagonizados por grupos APT son algo común hoy en día y ya casi nadie se extraña al ver como estos grupos, muchas veces asociados o dependientes directamente de Estados nación, protagonizan titulares. Durante el mes pasado, investigadores de ESET han desvelado varias operaciones llegadas a cabo por estos grupos por todo el mundo, afectando a varios sectores y organizaciones.
Los investigadores de ESET descubrieron una campaña de Ballistic Bobcat dirigida a varias entidades en Brasil, Israel y los Emiratos Árabes Unidos, utilizando una nueva puerta trasera denominada Sponsor. Este grupo se encuentra, supuestamente, alineado con los intereses de Irán y suele tener como objetivo organizaciones educativas, gubernamentales y sanitarias, así como activistas de derechos humanos y periodistas. Es más activo en Israel, Oriente Próximo y Estados Unidos. Durante la pandemia sus objetivos fueron organizaciones relacionadas con la investigación del COVID-19, incluidas la Organización Mundial de la Salud y Gilead Pharmaceuticals, y contra personal de investigación médica.
Unos días después, investigadores de ESET publicaron los análisis de dos campañas del grupo OilRig APT, campañas conocidas como Outer Space (2021), y Juicy Mix (2022). Ambas campañas de ciberespionaje se dirigieron exclusivamente a organizaciones israelíes, lo que coincide con el enfoque del grupo en Oriente Medio, y utilizaron las tácticas habituales. En primer lugar, OilRig comprometió un sitio web legítimo para utilizarlo como servidor de mando y control y, a continuación, utilizó descargadores para entregar una puerta trasera a los dispositivos de sus víctimas, al mismo tiempo que desplegaba una serie de herramientas utilizadas principalmente para el robo de datos en los sistemas objetivo.
Así mismo, durante septiembre, el equipo de investigadores de ESET descubrió una sofisticada puerta trasera, llamado Deadglyph, que habría sido utilizada por el infame grupo Stealth Falcon para el espionaje en Oriente Medio. Activo desde 2012, Stealth Falcon es conocido por atacar a activistas políticos, periodistas y disidentes en dicha región. En esta ocasión, la víctima de la infiltración analizada es una entidad gubernamental de Oriente Medio que fue comprometida con fines de espionaje.
Pero la investigación que más nos atañe y que tiene como protagonistas al grupo Lazarus, con vínculos directos con el gobierno de Corea del Norte, es la que publicaron investigadores de ESET y que tenía como objetivo a una empresa española del sector aeroespacial. El aspecto más preocupante de este ataque se encuentra en el nuevo tipo de carga maliciosa utilizado, una herramienta compleja y posiblemente en evolución que exhibe un alto nivel de sofisticación en su diseño y funcionamiento, y que representa un avance significativo en las capacidades maliciosas en comparación con herramientas anteriores usadas por este grupo.
El vector de ataque inicial usado en esta campaña contra la empresa española también presenta novedades puesto que los operadores del grupo Lazarus obtuvieron acceso inicial a la red de la empresa tras una exitosa campaña de suplantación de identidad, haciéndose pasar por un reclutador de Meta, la empresa detrás de Facebook, Instagram y WhatsApp. El objetivo final del ataque era el ciberespionaje.
Incidentes por todo el mundo
Precisamente, el grupo APT Lazarus ha tenido bastante protagonismo durante el pasado mes de septiembre siendo responsable, por ejemplo, del hackeo del intercambiador de criptomonedas CoinEX, lo que provocó el robo de grandes cantidades de criptoactivos, incluyendo Ethereum ($ETH), Tron ($TRON), y Polygon ($MATIC). Según algunas estimaciones, el importe total de activos robados por Lazarus ascendería a 53 millones de dólares. Este tipo de actividades delictivas no resultan extrañas para el grupo Lazarus, quien ya cuenta con una dilatada experiencia en ciberataques relacionados con el robo de dinero y criptoactivos.
Los grupos APT relacionados con el régimen de Corea del norte también aparecieron en un informe de Microsoft publicado en septiembre donde, curiosamente, Rusia aparecía como uno de sus objetivos principales, solo por detrás de Corea del Sur. Entre sus objetivos principales se encuentran organismo gubernamentales y empresas del sector de la defensa, muy probablemente para robar información confidencial.
Precisamente, una de las empresas que protagonizó una de las campañas más sonadas de grupo Lazarus como fue la del hackeo a Sony en 2014, se ha visto envuelta en un nuevo incidente donde se ha filtrado información interna de la empresa. En esta ocasión, hasta dos grupos de ransomware se han atribuido el ataque que habría terminado con la filtración de 3,14 GB de datos.
Otro de los incidentes que más ha dado de que hablar durante las últimas semanas han sido los casos de ransomware sufridos por dos de las empresas más importantes con presencia en Las Vegas como son MGM Resorts y Caesars Entertainment. En el caso del Caesars, sus responsables optaron por pagar el rescate y resumir sus operaciones en un corto espacio de tiempo, mientras que los responsables de MGM optaron por no ceder al chantaje y pasar más de 10 días restaurando sus sistemas.
Amenazas en España
En lo que respecta al malware más común que observamos en España, comprobamos como, un mes más, los correos electrónicos con supuestas facturas, presupuestos y otros documentos similares siguen predominando con varios ejemplos analizados durante el mes pasado.
Estas campañas suelen estar dirigidas al robo de credenciales de todo tipo que luego suelen ser usadas en ataques posteriores contra las empresas objetivo. Recordemos, que la utilización de credenciales comprometidas suele ser uno de los vectores de entrada principales en campañas dirigidas al robo de información, dinero y cifrado de datos, por lo que su gestión y protección debe ser una prioridad en todas las empresas.
Además, los delincuentes no dudan en suplantar incluso la identidad de las Fuerzas y Cuerpos de Seguridad del Estado para conseguir nuevas víctimas. Este es el caso de una campaña analizada el mes pasado y donde se mencionaba una supuesta denuncia de la Policía Nacional. Los delincuentes intentaban así que los usuarios pulsaran sobre un enlace y descargasen un archivo malicioso que comprometiese la seguridad del sistema.