Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Dos de los principales grupos de hackers de habla rusa comparten infraestructura, según Kaspersky Lab

  • Actualidad

Ciberdelincuente hacker programador

Sus analistas han identificado coincidencias en ciberataques llevados a cabo por dos actores de amenazas: GreyEnergy, del que se cree que será el sucesor de BlackEnergy, y el grupo de ciberespionaje Sofacy. Los dos actores utilizaron simultáneamente los mismos servidores, pero con un objetivo diferente en cada ocasión.

También puedes leer...

Cómo evaluar las opciones de SD-WAN

La Seguridad es Infinity

Gestión de cuentas con privilegios para Dummies

Cómo combatir las amenazas cifradas

Cómo vencer al malware evasivo

GreyEnergy y Sofacy están considerados como dos de los principales actores del panorama de ciberamenazas actual, y sus actividades delictivas así lo demuestran. Por ejemplo, en 2015, www lanzó uno de los ciberataques más famosos de la historia contra las instalaciones energéticas de Ucrania, provocando cortes de energía en todo el país, mientras que Sofacy causó estragos gracias a sus múltiples ataques dirigidos contra organizaciones gubernamentales y agencias de seguridad e inteligencia de EE.UU. y Europa.

Ahora el departamento ICS CERT de Kaspersky Lab, responsable de la investigación y eliminación de amenazas en sistemas industriales, encontró dos servidores, uno alojado en Ucrania y otro en Suecia, utilizados simultáneamente en junio de 2018 por ambos grupos. Según la firma, GreyEnergy utilizó estos servidores para almacenar archivos maliciosos en una campaña de phishing y, al mismo tiempo, Sofacy utilizó los servidores como centro de comando y control para su propio malware.

La conclusión de sus expertos es que el hecho que ambos grupos utilizaran los servidores durante un corto periodo de tiempo pero simultáneamente, es que emplean una infraestructura compartida.

Este dato pudo confirmarse cuando se observó que ambos grupos atacaban a la misma compañía con correos de phishing y con apenas una semana de diferencia. Es más, ambos grupos utilizaron documentos de phishing similares, bajo la apariencia de emails remitidos por el Ministerio de Energía de la República de Kazajistán. Según Maria Garnaeva, analista de seguridad de la compañía, “la infraestructura comprometida y compartida por estos dos actores apunta potencialmente al hecho de que ambos no solo tienen el ruso como idioma común, sino que también cooperan entre sí. También da una idea de su capacidad y crea una imagen más nítida de sus posibles metas y objetivos potenciales”.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos