Los grupos de APT ponen foco en las criptomonedas y en la guerra de Ucrania
- Endpoint
Principalmente dirigidos a empresas y entidades gubernamentales, los grupos de amenazas persistentes avanzadas actualizaron los conjuntos de herramientas maliciosas ya existentes y diversificaron sus técnicas para elevar sus ataques, con las crisis geopolíticas como un impulsor clave.
Los actores de amenazas persistentes avanzadas (APT) tuvieron un primer trimestre muy ocupado. Así se desprende del último informe de tendencias APT de Kaspersky, cuyos investigadores continuaron descubriendo nuevas herramientas, técnicas y campañas lanzadas por grupos APT en ciberataques en todo el mundo. La actividad en curso de APT fue impulsada por campañas recién lanzadas y por una serie de ataques en torno a eventos geopolíticos sensibles.
El panorama de amenazas experimentó numerosos ataques en torno a la guerra en Ucrania. HermeticRansom, DoubleZero y otros nuevos ataques contra entidades ucranianas fueron reportados a lo largo de febrero y marzo. Hubo un aumento significativo en la cantidad de infraestructura desplegada por los grupos APT Gamaredon y UNC1151 (Ghostwriter).
A lo largo de la investigación, los investigadores de Kaspersky identificaron dos muestras prototipo de WhisperGate desarrolladas en diciembre de 2021 que contenían cadenas de prueba y revisiones anteriores de la nota de rescate observada en las muestras compartidas de Microsoft. Concluyeron con gran confianza que estas muestras eran iteraciones anteriores del wiper supuestamente utilizado en Ucrania.
Al mismo tiempo, los investigadores de Kaspersky identificaron tres campañas vinculadas al actor de amenazas Konni, activas desde mediados de 2021, dirigidas a entidades diplomáticas rusas. Los vectores de infección fueron diferentes en cada campaña: documentos que contenían macros incrustadas, un instalador disfrazado de aplicación de registro de la COVID-19 y, un descargador con un señuelo de salvapantallas de Año Nuevo.
En este trimestre, Kaspersky también observó que los actores de APT continuaban su búsqueda de criptomonedas. Lazarus y otros actores de amenazas asociados con este APT han hecho de la ganancia financiera uno de sus objetivos principales. Este actor distribuyó aplicaciones de finanzas descentralizadas troyanizadas (DeFi) para aumentar las ganancias. Lazarus abusa de las aplicaciones legítimas utilizadas para administrar billeteras de criptomonedas mediante la distribución de malware que proporciona control sobre los sistemas de las víctimas.
Los actores de APT están constantemente buscando nuevas formas de aumentar la eficiencia de sus ataques. El grupo de mercenarios cibernéticos apodado DeathStalker continúa actualizando sus herramientas poco sofisticadas para hacer que los ataques sean más eficientes. Janicab, su malware más antiguo, introducido por primera vez en 2013, es un ejemplo de esta tendencia.
"La geopolítica siempre ha sido el principal impulsor de los ataques de APT, y nunca ha sido tan evidente como ahora. Estamos viviendo tiempos turbulentos y esto también está claro a través de la lente de la ciberseguridad. Al mismo tiempo, podemos ver que para muchos actores de amenazas el primer trimestre ha sido como de costumbre, con una actualización continua de herramientas y nuevas campañas que buscan no solo información, sino también dinero", comenta David Emm, investigador principal de seguridad de GReAT de Kaspersky. "Esto significa que las organizaciones deben estar tan alerta como siempre y asegurarse de que están armadas con inteligencia de amenazas y las herramientas adecuadas para protegerse de las amenazas existentes y emergentes".
