Grupos de pirateria avanzan y siguen apareciendo

Grupos de pirateria avanzan y siguen apareciendo

Los avances en el panorama de amenazas son claros de un año a otro. Desde el año pasado, los investigadores de seguridad han visto nuevos adversarios junto con métodos de compromiso y ataques cibernéticos más evidentes.

La compañía de ciberseguridad con sede en Singapur Group-IB describe en un informe publicado hoy los cambios clave en el espectro de amenazas de alta tecnología registradas desde la segunda mitad de 2018 y la primera mitad de 2019.

RedCurl, un nuevo adversario

Los ataques de un nuevo grupo llamado RedCurl se detectaron en 2019 contra compañías de seguros, consultoría, minería, ferretería, venta minorista y construcción con fines de espionaje y robo financiero.

Group-IB dice que este actor de amenaza es altamente capaz y difícil de detectar. Lo que permite a RedCurl volar por debajo del radar es el uso de servicios legítimos para comunicarse con sus servidores de comando y control (C2).

El actor de la amenaza confía en un troyano personalizado para sus acciones maliciosas y se enfoca primero en robar documentación importante de la víctima y luego instala mineros XMRIG para la criptomoneda Monero en la infraestructura.

En cuanto a los datos robados de las víctimas, RedCurl parece estar interesado en acuerdos e información sobre pagos y contratos.

Una característica particular de este adversario es la alta calidad de sus ataques de phishing. Están personalizando los mensajes para cada víctima a la que apuntan, lo que garantiza una mejor tasa de éxito.

Por el momento, no está claro si RedCurl es un grupo cibercriminal o patrocinado por el estado.

La mayoría de las víctimas están en Europa del Este, con una empresa comprometida con sede en América del Norte. A juzgar por el idioma utilizado en los documentos señuelo y el servicio utilizado para configurar un servidor de correo electrónico, al menos un miembro del grupo habla ruso, nos dijo Group-IB.

Atacantes impulsados ​​por el dinero

Group-IB nombra cinco equipos cibercriminales que participan activamente en ataques contra instituciones financieras, tres de ellos son hablantes de ruso ( Cobalt , Silence , MoneyTaker ) y los únicos que trabajan con troyanos que controlan los cajeros automáticos para dispensar el efectivo a voluntad.

Los otros dos son Lazarus y SilentCard, un nuevo grupo de Kenia que apunta a bancos en África y tiene éxito en ello, a pesar de tener habilidades técnicas menos impresionantes que los otros actores en el mismo negocio.

Aunque hay otros actores que amenazan al sector financiero, el informe del Grupo IB considera que estos cinco pueden causar daños graves.

Estos grupos generalmente pasan mucho tiempo en la red comprometida aprendiendo las cuerdas para que puedan ejecutar operaciones financieras, así como a los empleados que supervisan.

Los detalles sobre SilentCard son escasos en este momento; pero los investigadores determinaron que el grupo opera localmente y estuvo involucrado en dos atracos exitosos.

Con solo una muestra de malware disponible, Group-IB supone que SilentCard usa "un dispositivo controlado dentro de la organización que les permite atacar la red corporativa".

Actores respaldados por el estado

Los atacantes que trabajan para un gobierno, también conocidos como grupos APT, también han estado ocupados, 38 grupos activos durante el período observado por el Grupo IB. De estos, siete fueron descubiertos este año para llevar a cabo operaciones de ciberespionaje.

Incluso si los nuevos grupos solo se descubrieron durante el año pasado, han estado operando durante mucho más tiempo, algunos desde 2011.

Uno de ellos es Windshift, cuyas herramientas y tácticas fueron analizadas por DarkMatter en agosto de 2018. Sin embargo, ha estado en el juego de ciberespionaje desde al menos 2017 dirigido a empleados de agencias gubernamentales e instalaciones de infraestructura crítica en el Medio Oriente.

Blue Mushroom (también conocido como Sapphire Mushroom y APT-C-12) ha estado funcionando desde 2011, pero apareció en el radar solo a mediados de 2018. Sus objetivos están en la industria nuclear y la investigación científica, según un informe de Qihoo360.

Gallmaker es otro grupo APT descubrió en 2018, pero operando por lo menos desde diciembre de 2017, Symantec encontró . Se basa en herramientas para vivir de la tierra para ejecutar ataques contra objetivos gubernamentales y militares.

La investigación publicada por Qiho360 a principios de año reveló la actividad de APT-C-36 o Blind Eagle, un grupo de amenaza de América del Sur que se dedicaba a robar secretos comerciales de importantes empresas y agencias gubernamentales.

La mosca blanca se dirige principalmente contra entidades en Singapur de los sectores de salud, medios, telecomunicaciones e ingeniería. Se rastreó su actividad hasta 2017 , aunque fue el ataque a la organización de salud pública más grande de Singapur en julio de 2018 lo que lo puso en el mapa; 1,5 millones de registros de pacientes fueron robados.

Hexane or Lyceum está interesado en organizaciones de infraestructura crítica en el Medio Oriente y se reveló por primera vez al público en agosto, aunque su actividad había estado bajo escrutinio mucho antes de esa fecha. SecureWorks publicó detalles técnicos sobre su modus operandi.

El séptimo grupo APT permanece sin identificar, ya que se sabe poco sobre él y luego sobre el marco de ataque que utiliza. Llamado TajMahal , Kaspersky descubrió que el kit contenía unos 80 módulos y se utilizaba para comprometer una entidad diplomática en Asia Central.

Escalada de ciberguerra

La ciberseguridad se ha convertido en un tema común para los líderes políticos y un pilar para las operaciones militares. Los ataques descritos en los registros públicos muestran que están perdiendo lentamente la capa de encubrimiento.

Los gobiernos que recurren a herramientas digitales para interrumpir las actividades de los adversarios ya no es una predicción, sino una realidad. Varias plantas de energía han sufrido ataques cibernéticos sin ganancias financieras para los piratas informáticos.

Se han tomado represalias contra enemigos con ataques cibernéticos, siendo el más destacado la acción de Estados Unidos durante el verano contra el sistema de armas de Irán para derribar un avión no tripulado de vigilancia estadounidense y ataques contra petroleros.

Dmitry Volkov, CTO del Grupo IB y Jefe de Inteligencia de Amenazas, dice que 2018 mostró lo poco preparado que está el mundo cibernético para los ataques de canal lateral y las vulnerabilidades relacionadas con los microprocesadores, mientras que 2019 reveló operaciones militares encubiertas en el ciberespacio.

"Los grupos que actúan en interés nacional pasan desapercibidos durante muchos años. Solo se conocen algunos de estos incidentes, pero la mayoría indica que la infraestructura crítica de muchos países ya se ha visto comprometida" - Dmitry Volkov

Fecha actualización el 2021-11-29. Fecha publicación el 2019-11-29. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil