Ciberespionaje, falsas fugas de datos y desinformación destacan entre las APTs del primer semestre

Durante el segundo trimestre de 2019, los investigadores de Kaspersky observaron actividad interesante en Oriente Medio. Esto comprendió una serie de filtraciones online de activos como código, infraestructura, datos de grupos y de aparentes víctimas, supuestamente llevadas a cabo por los conocidos actores de amenazas de habla persa, OilRig y MuddyWater.

También hubo una tercera filtración, que aparentemente expuso información relacionada con una entidad llamada "Instituto RANA", que fue publicada en persa en un sitio web llamado "Realidad Oculta". El análisis de los investigadores de Kaspersky sobre los materiales, la infraestructura y el sitio web dedicado, los llevó a la conclusión de que esta fuga podría estar relacionada con el actor de amenazas Hades. Éste es el grupo que está detrás del incidente del Olympic Destroyer de los Juegos Olímpicos de Invierno de 2018, así como del gusano ExPetr, y de varias campañas de desinformación como la filtración en 2017 de correos electrónicos relacionados con la campaña electoral presidencial de Emmanuel Macron en Francia.  que aparentemente expuso información relacionada con una entidad llamada "Instituto RANA", fue publicada en persa en un sitio web llamado "Realidad Oculta". El análisis de los investigadores de Kaspersky sobre los materiales, la infraestructura y el sitio web dedicado, los llevó a la conclusión de que esta fuga podría estar relacionada con el actor de amenazas Hades. Hades es el grupo que está detrás del incidente del Olympic Destroyer de los Juegos Olímpicos de Invierno de 2018, así como del gusano ExPetr, y de varias campañas de desinformación como la filtración en 2017 de correos electrónicos relacionados con la campaña electoral presidencial de Emmanuel Macron en Francia.

Según los investigadores de esta firma, los grupos de habla rusa siguieron perfeccionando y lanzando nuevas herramientas y operaciones. Por ejemplo, desde marzo, Zebrocy parece haber centrado su atención en los eventos, funcionarios, diplomáticos y militares relacionados con Pakistán/India, así como en el mantenimiento del acceso continuo a las redes locales y remotas del gobierno de Asia Central. Los ataques de Turla continuaron presentando un conjunto de herramientas en rápida evolución y, un caso notable, el aparente secuestro de la infraestructura perteneciente a OilRig.

La actividad relacionada con Corea fue elevada pero en el resto del sudeste asiático se registró más tranquilidad que en trimestres anteriores. Entre las operaciones dignas de mención figuran un ataque del grupo Lazarus contra una empresa de juegos de azar para teléfonos móviles en Corea del Sur y una campaña de BlueNoroff, el subgrupo Lazarus, contra un banco ubicado en Bangladesh y software de criptografía de divisas.

Los investigadores también observaron una activa campaña dirigida a los organismos gubernamentales de Asia Central dirigida por el grupo chino de APT SixLittleMonkeys, utilizando una nueva versión del troyano Microcin y una RAT que Kaspersky llama HawkEye. 

La compañía de seguridad acompaña este informe con un conjunto de medidas para no ser víctima de un dirigido por un actor de amenazas conocido o desconocido. Son las siguientes:

- Proporcionar al equipo SOC acceso a la información más reciente sobre amenazas para mantenerse al día sobre las herramientas, técnicas y tácticas nuevas y emergentes utilizadas por los actores de amenazas y los ciberdelincuentes.

- Para la detección, investigación y remediación de incidentes a nivel de endpoints, implementar soluciones EDR.

- Además de adoptar la protección esencial de los endpoints, implementar una solución de seguridad de nivel corporativo que detecte amenazas avanzadas a nivel de red en una fase temprana

- Como muchos de los ataques dirigidos se inician con phishing u otras técnicas de ingeniería social, introducir la formación en materia de seguridad y enseñe habilidades prácticas.

La compañía dispone de oferta en todas estas áreas.