Casi la mitad de los ataques dirigidos se atribuyen a criminales chinos

El análisis de amenazas del tercer trimestre demostró claramente que los atacantes de habla china no han desaparecido y siguen estando muy activos, realizando campañas de ciberespionaje contra una amplia gama de países y mercados verticales. En total, 10 de los 24 análisis de investigación sobre ataques dirigidos avanzados realizados por Kaspersky Lab en el trimestre se centraron en actividades atribuidas a múltiples actores en la región china.

También puedes leer... Tratando con el Ransomware Directrices para el Data Protection Office (DPO) Cinco pasos para hacer del Data Masking una realidad Lagunas de conocimiento en Ciberseguridad Cómo cuantificar el valor de un CASB

La investigación reveló una serie de desarrollos en el área de ataques dirigidos por, entre otros, ciberatacantes de habla china, rusa, inglesa y coreana. Los criminales chinos, en particular, fueron especialmente activos durante este período. Su revitalización ha afectado no solo a varias organizaciones, sino también a organizaciones gubernamentales y políticas, así como a grandes acuerdos regionales.

Entre los hallazgos de la investigación destaca el aumento de los ataques de ciberespionaje por parte de actores de habla china. Los ataques más interesantes fueron Netsarang / ShadowPad y CCleaner, que implicaron la incorporación de puertas traseras específicas dentro de paquetes de instalación del software legítimo. Sólo CCleaner logró infectar 2 millones de ordenadores, convirtiéndose en uno de los mayores ataques de 2017.

También se registró un creciente interés de los criminales chinos en atacar instalaciones estratégicas y sectores de la economía. Un ejemplo de ello es el ataque IronHusky contra compañías de aviación e institutos de investigación rusas y mongolas. Esta campaña fue descubierta en julio, cuando los dos países fueron atacados con una variante de Poison Ivy de un actor de habla china. El ataque estaba relacionado con la defensa aérea de Mongolia, que fue un tema clave de las negociaciones celebradas con Rusia a principios de año.

Asimismo, los expertos de Kaspersky Lab emitieron varios informes sobre hackers de habla rusa, la mayoría de los cuales estaban dedicados a ataques financieros y a ATM. Respecto a los ciberatacantes de habla inglesa, lo más destacable fue la aparición de Red Lambert, una puerta trasera descubierta durante el análisis previo de Gray Lambert y utilizada en lugar de certificados SSL codificados en comunicaciones de comando y control.

"El panorama de amenazas dirigidas está evolucionando constantemente, no solo en términos de que los ciberdelincuentes están cada vez mejor preparados tecnológicamente, sino también en términos de geografía. El aumento de los atacantes de habla china demuestra una vez más la importancia de invertir en inteligencia sobre amenazas y armar a las organizaciones con información sobre las últimas tendencias y desarrollos", señala Brian Bartholomew, investigador de seguridad del equipo de análisis e investigación global de Kaspersky Lab.