CIBERSEGURIDAD

Algo en común: dos notorios grupos de piratas informáticos de habla rusa se encontraron compartiendo infraestructura entre sí.

0 70 3 minutos de lectura

Los expertos de Kaspersky Lab han identificado una superposición en los ataques cibernéticos entre dos actores de amenazas infames, GreyEnergy, que se cree que es el sucesor de BlackEnergy, y el grupo de ciberespionaje Sofacy. Ambos actores utilizaron los mismos servidores al mismo tiempo, sin embargo, con un propósito diferente.



Se considera que los grupos de piratería BlackEnergy y Sofacy son dos de los principales actores en el panorama moderno de las ciberamenazas. En el pasado, sus actividades a menudo tenían consecuencias devastadoras a nivel nacional. BlackEnergy infligió uno de los ciberataques más notorios de la historia con sus acciones contra las instalaciones energéticas de Ucrania en 2015, lo que provocó cortes de energía.

Mientras tanto, el grupo Sofacy causó estragos con múltiples ataques contra organizaciones gubernamentales estadounidenses y europeas, junto con agencias de inteligencia y seguridad nacional. Anteriormente se sospechaba que había una conexión entre los dos grupos, pero no se ha probado hasta ahora, después de que se descubrió que GreyEnergy, el sucesor de BlackEnergy, estaba usando malware para atacar objetivos de infraestructura industrial y crítica principalmente en Ucrania, y demostró ser fuerte similitudes arquitectónicas con BlackEnergy.

El departamento ICS CERT de Kaspersky Lab, responsable de la investigación y eliminación de amenazas de sistemas industriales, encontró dos servidores alojados en Ucrania y Suecia, que fueron utilizados por ambos actores de amenazas al mismo tiempo en junio de 2018. El grupo GreyEnergy utilizó servidores en su campaña de phishing para almacenar un archivo malicioso. Los usuarios descargaron este archivo cuando abrieron un documento de texto adjunto a un correo electrónico de phishing. Al mismo tiempo, Sofacy utilizó el servidor como centro de comando y control para su propio malware. Como ambos grupos utilizaron los servidores durante un tiempo relativamente corto, tal coincidencia sugiere una infraestructura compartida. Esto fue confirmado por el hecho de que se observó que ambos actores de amenazas apuntaban a una empresa una semana después de la otra con correos electrónicos de spear phishing. Además, ambos grupos utilizaron documentos de phishing similares bajo la apariencia de correos electrónicos del Ministerio de Energía de la República de Kazajstán.

“La infraestructura comprometida que se encuentra compartida por estos dos actores de amenazas apunta potencialmente al hecho de que la pareja no solo tiene el idioma ruso en común, sino que también coopera entre sí. También proporciona una idea de sus capacidades conjuntas y crea una mejor imagen de sus objetivos plausibles y posibles objetivos. Estos hallazgos agregan otra pieza importante al conocimiento público sobre GreyEnergy y Sofacy. Cuanto más sepa la industria sobre sus tácticas, técnicas y procedimientos, mejor podrán hacer su trabajo los expertos en seguridad para proteger a los clientes de ataques sofisticados ”, dijo Maria Garnaeva, investigadora de seguridad de Kaspersky Lab ICS CERT.

Para proteger a las empresas de los ataques de dichos grupos, Kaspersky Lab sugiere a los clientes que:

Brinde capacitación dedicada en ciberseguridad a los empleados, enséñelos a verificar siempre la dirección del enlace y el correo electrónico del remitente antes de hacer clic en cualquier cosa.

Introducir iniciativas de concienciación sobre seguridad, incluida la formación ludificada con evaluaciones de habilidades y refuerzo mediante la repetición de ataques de phishing simulados.

Automatice las actualizaciones de los sistemas operativos, el software de aplicaciones y las soluciones de seguridad en los sistemas que forman parte de la red de TI, así como de la red industrial de la empresa.

Implemente una solución de protección dedicada, habilitada con tecnologías anti-phishing basadas en el comportamiento, así como tecnologías anti-ataques dirigidos e inteligencia de amenazas, como la solución Kaspersky Threat Management and Defense. Estos son capaces de detectar y detectar ataques dirigidos avanzados mediante el análisis de anomalías de la red y brindar a los equipos de ciberseguridad una visibilidad completa sobre la red y la automatización de la respuesta.

Lea la versión completa del informe Kaspersky Lab ICS CERT aquí.

Acerca de Kaspersky Lab

Kaspersky Lab es una empresa global de ciberseguridad que opera en el mercado desde hace más de 21 años. La profunda experiencia en seguridad e inteligencia de amenazas de Kaspersky Lab se transforma constantemente en soluciones y servicios de seguridad de próxima generación para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. El portafolio de seguridad integral de la compañía incluye protección de endpoints líder y una serie de soluciones y servicios de seguridad especializados para combatir amenazas digitales sofisticadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270.000 clientes corporativos a proteger lo que más les importa.

Obtenga más información en www.kaspersky.com.

Publicaciones relacionadas

Las fuerzas del orden se apoderan del mercado de la web oscura después de que el moderador filtra las credenciales de backend.

Correos electrónicos de tarjetas electrónicas de Acción de Gracias que distribuyen software malicioso

GDPR desafía a todas las organizaciones a enmascarar los datos de la UE de forma predeterminada

1.200 millones de personas expuestas a una fuga gigantesca con perfiles enriquecidos con datos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar