top of page

Los grupos rusos APT (Advanced Persistent Threat), Sandworm en particular, continúan sus ataques

• ESET ha publicado su último informe de actividad APT, que cubre el período de septiembre a diciembre de 2022 (el tercer trimestre de 2022).

• Los grupos APT alineados con Rusia han estado particularmente involucrados en operaciones dirigidas a Ucrania, desplegando limpiaparabrisas destructivos como NikoWiper. Sandworm lanzó sus limpiaparabrisas simultáneamente con los ataques con misiles de las fuerzas armadas de Rusia contra la infraestructura energética. Aunque ESET no puede demostrar una conexión entre estos eventos, la compañía insinúa que Sandworm y las fuerzas militares rusas tienen objetivos relacionados.


• Grupos APT rusos atacaron Ucrania usando ransomware (Prestige, RansomBoggs).

• Además de Sandworm, otros grupos rusos APT, Callisto y Gamaredon en particular, continuaron su campaña de phishing dirigida contra este país de Europa del Este.

• Los grupos pro-China, Goblin Panda en particular, han comenzado a replicar los intereses de Mustang Panda en los países europeos.

• Los grupos alineados con Irán continuaron operando a gran escala.


ESET Research publica hoy su último Informe de actividad de amenazas persistentes avanzadas (APT), que resume los hallazgos sobre grupos muy específicos de APT que han sido monitoreados, investigados y cuestionados por investigadores de ESET entre septiembre y finales de diciembre (Q3) 2022. Durante este período, los grupos APT alineados con Rusia participaron en operaciones dirigidas a Ucrania, desplegando limpiaparabrisas destructivos y ransomware. Goblin Panda, un grupo alineado con las posiciones de China, ha comenzado a replicar los intereses de Mustang Panda en los países europeos. Los grupos alineados con Irán también han seguido operando a gran escala.


En Ucrania, ESET descubrió que el notorio grupo Sandworm había utilizado un limpiador previamente desconocido contra una empresa de energía. Los grupos APT suelen estar dirigidos por actores del estado-nación o patrocinados por el estado; el ataque en cuestión tuvo lugar en octubre, cuando las fuerzas armadas rusas dispararon misiles contra la infraestructura energética. Aunque ESET no puede demostrar que estos eventos estén coordinados, la empresa da a entender que Sandworm y las fuerzas militares rusas tienen objetivos relacionados.


El limpiaparabrisas más reciente de una serie de limpiaparabrisas descubiertos anteriormente ha sido denominado NikoWiper por ESET. Este borrador se usó contra una empresa de energía en Ucrania en octubre de 2022. NikoWiper se basa en SDelete, una utilidad de línea de comandos de Microsoft que se usa para eliminar archivos de forma segura.


Además del malware que elimina datos, ESET descubrió que Sandworm usaba ransomware como limpiador en sus ataques, cuyo objetivo final, a pesar de usar este ransomware, era el mismo solo cuando se usaban limpiadores, es decir, la destrucción de datos. A diferencia de los ataques típicos de ransomware, los operadores de Sandworm no tienen la intención de proporcionar una clave de descifrado.


En octubre de 2022, ESET detectó el uso del ransomware Prestige contra empresas de logística en Ucrania y Polonia. Y en noviembre de 2022, ESET detectó un nuevo ransomware en Ucrania desarrollado en .NET, al que llamamos RansomBoggs. ESET Research hizo pública esta campaña en su cuenta de Twitter. Además de Sandworm, otros grupos APT rusos como Callisto y Gamaredon continuaron con su campaña de phishing dirigida contra Ucrania para robar datos de acceso y plantar malware.


Los grupos alineados con las posiciones de Corea del Norte han utilizado vulnerabilidades informáticas antiguas para comprometer la seguridad de los negocios e intercambios de criptomonedas en varias partes del mundo. Curiosamente, el Grupo Konni ha ampliado la gama de idiomas disponibles en sus documentos señuelo para incluir el inglés, lo que podría significar un cambio de sus objetivos habituales, Rusia y Corea del Sur.


Para obtener más información técnica, puede leer el "Informe de actividad de ESET APT" completo en WeLiveSecurity. Asegúrese de seguir a ESET Research en Twitter para conocer las últimas noticias de ESET Research.


Los informes de actividad APT de ESET contienen solo una pequeña fracción de los datos de inteligencia de amenazas cibernéticas disponibles para los clientes a través de los informes APT privados de ESET. ESET produce informes técnicos detallados y actualizaciones periódicas sobre las actividades de grupos APT seleccionados en forma de informes PREMIUM para ayudar a las organizaciones responsables de la protección de los ciudadanos, la infraestructura nacional crítica y los activos de alto valor para luchar contra los ciberataques criminales y dirigidos por el estado o la nación. Para obtener más información sobre los informes PREMIUM APT, que contienen valiosa información estratégica, procesable y táctica sobre ciberamenazas, visite este enlace: ESET Threat Data.



97 visualizaciones0 comentarios

Entradas recientes

Ver todo

Comments


bottom of page