Olympic Destroyer el malware que llegó a los Pyeongchang 2018 Winter Olympics, aún está vivo e infecta a nuevas víctimas, según un informe publicado por el vendedor de antivirus ruso Kaspersky Labs.
Los investigadores de seguridad de la compañía dicen que detectaron infecciones por el Olympic Destroyer en toda Europa en mayo y junio de 2018.
Las nuevas víctimas incluyen organizaciones financieras en Rusia y laboratorios de prevención de amenazas biológicas y químicas en Europa y Ucrania.
"Ataques" reales o nuevas operaciones de "bandera falsa"
"La variedad de objetivos financieros y no financieros podría indicar que varios grupos con intereses diferentes usaron el mismo malware, es decir, un grupo interesado principalmente en obtener ganancias financieras a través de cybertheft y otro grupo o grupos que buscan objetivos de espionaje", dice Kaspersky.
"Esto también podría ser el resultado de la externalización de ataques cibernéticos, que no es poco común entre los actores del estado-nación", agregaron los expertos. "Por otro lado, los objetivos financieros podrían ser otra operación de bandera falsa por parte de un actor que ya se destacó en esto durante las Olimpiadas de Pyeongchang para redirigir la atención de los investigadores".
Cuando el equipo de Kaspersky hace referencia a las capacidades de "bandera falsa" de Olympic Destroyer, se refiere a algunas de las características del malware, que han sido tomadas del arsenal de otros grupos de ciberespionaje.
Anteriormente, los expertos descubrieron que partes del malware del Destructor Olímpico habían utilizado partes de herramientas desarrolladas por el Grupo Lazarus vinculado con Corea del Norte y tres grupos chinos de ciberespionaje.
En el informe de Kaspersky afirma que "algunas de las TTP y seguridad operativa" utilizadas en las recientes campañas de Olympic Destroyer se asemejan a las utilizadas por Sofacy APT, un grupo de ciberespionaje vinculado a Rusia también conocido como APT28 y Fancy Bear.
La conclusión de Kaspersky da credibilidad a un informe del Washington Post de febrero que cita fuentes de la comunidad de inteligencia de EE. UU. Que atribuyen el Destructor Olímpico al aparato de ciberespionaje de Rusia.
Olympic Destroyer alojado en sitios obsoletos de Joomla
En cuanto a las recientes campañas de Olympic Destroyer, Kaspersky dice que los delincuentes han estado usando buenas técnicas de "suplantación de identidad" para engañar a las víctimas a fin de que abran sus documentos Office.
Para estos ataques recientes, Kaspersky dice que los hackers descargaron los binarios de Olympic Destroyer de los sitios web que ejecutan Joomla 1.7.3, una versión muy desactualizada del CMS basado en PHP de Joomla.
Los ataques de limpiadores de datos son muy populares en este momento
El principal objetivo del malware es propagarse dentro de una red interna y borrar datos de los sistemas en un esfuerzo por evitar operaciones forenses o crear estragos y distraer a los departamentos de TI. de otros objetivos.
Los ataques con limpiadores de datos son furor en este momento, ya que otro grupo, que se cree que es de origen norcoreano, ha desplegado el limpiador de datos KillDisk luego de robar $ 10 millones de un banco chileno.
El limpiador de datos bloqueó los sistemas del banco, manteniendo a sus empleados de TI ocupados restaurando los principales servicios del banco, mientras que los piratas informáticos estaban desviando dinero de su cuenta principal.
Fecha actualización el 2021-06-19. Fecha publicación el 2018-06-19. Categoría: malware. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer