Eset alerta del aumento de ataques contra entidades colombianas desde la segunda mitad de 2020
- Actualidad
El malware contra organizaciones de Colombia ha aumentado en los últimos meses y en especial en la segunda parte de 2020, hasta el punto de que la firma de seguridad Eset habla de una serie de ataques dirigidos exclusivamente contra entidades públicas y privadas del país que tienen como finalidad el espionaje. Ha llamado a la operación Spalax.
|
Recomendados: Crowdstrike Falcon Complete, detección y respuesta gestionada Leer Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer |
El malware que tiene como objetivos a organizaciones colombianas ha crecido en los últimos meses. Según ESET, sus investigadores han detectado una serie de ataques que están sufriendo organizaciones públicas y privadas de ese país. La operación, que ha denominado Spalax, tiene como finalidad del ciberespionaje.
Según informa el especialista, los ataques se están llevando a cabo mediante troyanos que proporcionan acceso remoto a los delincuentes, y aparte de dirigirse a instituciones gubernamentales, tienen como objetivo prioritario a empresa principalmente de los sectores de los sectores energético y metalúrgico.
Los investigadores de Eset explican que los ciberdelincuentes llegan a sus objetivos a través de correos electrónicos con archivos maliciosos, sobre todo mediante un PDF que contiene un enlace sobre el que la víctima pincha y con asuntos como notificaciones sobre test obligatorios del coronavirus, llamamientos a un tribunal, pago de multas de tráfico o bloqueo de cuentas corrientes. Los archivos descargados suelen estar comprimidos en RAR y contienen un ejecutable alojado en un sitio legítimo como OneDrive o MegaFire.
Los payloads utilizados son troyanos con capacidad de acceso remoto que incorporan capacidades de espionaje: captura de pulsaciones de teclado, capturas de pantalla, secuestro del portapapeles, robo de archivos o capacidades de descarga y ejecución de malware adicional, entre otros.
Según Matias Porolli, uno de los especialistas de Eset que ha participado en este análisis, se han observado “al menos 24 direcciones IP diferentes utilizadas en esta operación durante la segunda mitad de 2020. Probablemente son dispositivos que han sido comprometidos y que actúan como proxy para sus servidores de mando y control. Esta situación, combinada con el uso de servicios de DNS dinámico, significa que la infraestructura de este grupo no es estática. Hemos llegado a ver hasta 70 nombres de dominio activos en este período y cada poco tiempo registran nuevos dominios”.
La situación ha evolucionado desde las primeras campañas observadas por otros investigadores el año pasado, pasando de un puñado de nombres de dominio y servidores de mando y control a una importante campaña basada en infraestructuras muy dinámicas y con cientos de nombres de dominio utilizados desde 2019. Estos ataques, además, comparten algunos TTP con otros publicados en informes anteriores sobre grupos que tienen a Colombia como objetivo, pero son bastante diferentes en algunos aspectos, lo que dificulta su atribución.
