• ESET ha publicado su último informe de actividad APT, que cubre el perÃodo de septiembre a diciembre de 2022 (el tercer trimestre de 2022).
• Los grupos APT alineados con Rusia han estado particularmente involucrados en operaciones dirigidas a Ucrania, desplegando limpiaparabrisas destructivos como NikoWiper. Sandworm lanzó sus limpiaparabrisas simultáneamente con los ataques con misiles de las fuerzas armadas de Rusia contra la infraestructura energética. Aunque ESET no puede demostrar una conexión entre estos eventos, la compañÃa insinúa que Sandworm y las fuerzas militares rusas tienen objetivos relacionados.
• Grupos APT rusos atacaron Ucrania usando ransomware (Prestige, RansomBoggs).
• Además de Sandworm, otros grupos rusos APT, Callisto y Gamaredon en particular, continuaron su campaña de phishing dirigida contra este paÃs de Europa del Este.
• Los grupos pro-China, Goblin Panda en particular, han comenzado a replicar los intereses de Mustang Panda en los paÃses europeos.
• Los grupos alineados con Irán continuaron operando a gran escala.
ESET Research publica hoy su último Informe de actividad de amenazas persistentes avanzadas (APT), que resume los hallazgos sobre grupos muy especÃficos de APT que han sido monitoreados, investigados y cuestionados por investigadores de ESET entre septiembre y finales de diciembre (Q3) 2022. Durante este perÃodo, los grupos APT alineados con Rusia participaron en operaciones dirigidas a Ucrania, desplegando limpiaparabrisas destructivos y ransomware. Goblin Panda, un grupo alineado con las posiciones de China, ha comenzado a replicar los intereses de Mustang Panda en los paÃses europeos. Los grupos alineados con Irán también han seguido operando a gran escala.
En Ucrania, ESET descubrió que el notorio grupo Sandworm habÃa utilizado un limpiador previamente desconocido contra una empresa de energÃa. Los grupos APT suelen estar dirigidos por actores del estado-nación o patrocinados por el estado; el ataque en cuestión tuvo lugar en octubre, cuando las fuerzas armadas rusas dispararon misiles contra la infraestructura energética. Aunque ESET no puede demostrar que estos eventos estén coordinados, la empresa da a entender que Sandworm y las fuerzas militares rusas tienen objetivos relacionados.
El limpiaparabrisas más reciente de una serie de limpiaparabrisas descubiertos anteriormente ha sido denominado NikoWiper por ESET. Este borrador se usó contra una empresa de energÃa en Ucrania en octubre de 2022. NikoWiper se basa en SDelete, una utilidad de lÃnea de comandos de Microsoft que se usa para eliminar archivos de forma segura.
Además del malware que elimina datos, ESET descubrió que Sandworm usaba ransomware como limpiador en sus ataques, cuyo objetivo final, a pesar de usar este ransomware, era el mismo solo cuando se usaban limpiadores, es decir, la destrucción de datos. A diferencia de los ataques tÃpicos de ransomware, los operadores de Sandworm no tienen la intención de proporcionar una clave de descifrado.
En octubre de 2022, ESET detectó el uso del ransomware Prestige contra empresas de logÃstica en Ucrania y Polonia. Y en noviembre de 2022, ESET detectó un nuevo ransomware en Ucrania desarrollado en .NET, al que llamamos RansomBoggs. ESET Research hizo pública esta campaña en su cuenta de Twitter. Además de Sandworm, otros grupos APT rusos como Callisto y Gamaredon continuaron con su campaña de phishing dirigida contra Ucrania para robar datos de acceso y plantar malware.
Los grupos alineados con las posiciones de Corea del Norte han utilizado vulnerabilidades informáticas antiguas para comprometer la seguridad de los negocios e intercambios de criptomonedas en varias partes del mundo. Curiosamente, el Grupo Konni ha ampliado la gama de idiomas disponibles en sus documentos señuelo para incluir el inglés, lo que podrÃa significar un cambio de sus objetivos habituales, Rusia y Corea del Sur.
Para obtener más información técnica, puede leer el "Informe de actividad de ESET APT" completo en WeLiveSecurity. Asegúrese de seguir a ESET Research en Twitter para conocer las últimas noticias de ESET Research.
Los informes de actividad APT de ESET contienen solo una pequeña fracción de los datos de inteligencia de amenazas cibernéticas disponibles para los clientes a través de los informes APT privados de ESET. ESET produce informes técnicos detallados y actualizaciones periódicas sobre las actividades de grupos APT seleccionados en forma de informes PREMIUM para ayudar a las organizaciones responsables de la protección de los ciudadanos, la infraestructura nacional crÃtica y los activos de alto valor para luchar contra los ciberataques criminales y dirigidos por el estado o la nación. Para obtener más información sobre los informes PREMIUM APT, que contienen valiosa información estratégica, procesable y táctica sobre ciberamenazas, visite este enlace: ESET Threat Data.