El último informe de Kaspersky sobre Amenazas Persistentes Avanzadas (APT) correspondiente al segundo trimestre de 2023 analiza la evolución tanto de los nuevos riesgos como de los ya existentes. El informe destaca la actualización de las herramientas y técnicas utilizadas por los ciberdelincuentes y la creación de nuevas variantes de malware.
Una de las novedades detectadas por los analistas de Kaspersky es una campaña de larga duración denominada Operation Triangulation en la que se utiliza una plataforma de malware iOS (dispositivos de Apple) desconocida hasta la fecha. También se han observado otras técnicas utilizadas por los ciberdelincuentes:
Nueva amenaza en la región Asia-Pacífico: Mysterious Elephant
Kaspersky ha descubierto un nuevo actor de amenazas perteneciente a la familia Elephants en la región Asia-Pacífico denominado Mysterious Elephant. Utiliza nuevas familias de backdoors, capaces de ejecutar archivos y comandos en el equipo de la víctima y recibir archivos o comandos desde un servidor malicioso para ejecutarlos en el sistema infectado. Los expertos de Kaspersky han confirmado similitudes con la actividad de los grupos Confucius y SideWinder. Sin embargo, Mysterious Elephant utiliza Tácticas, Técnicas y Procedimientos (TTPs) diferenciales y muy avanzados.
Lazarus crea una nueva variante de malware mientras BlueNoroff ataca macOS
Los ciberdelincuentes mejoran sus técnicas continuamente. Así, el grupo Lazarus ha desarrollado una nueva variante de la familia de malware MATA, MATAv5. Por su parte, BlueNoroff, subgrupo de Lazarus centrado en ataques a entidades financieras, emplea nuevos métodos, como PDFs con troyanos, así como malware contra macOS, y el lenguaje de programación Rust. Además, el grupo ScarCruft APT ha desarrollado nuevas formas de infección capaces de evadir la seguridad Mark-of-the-Web (MOTW). Este sistema de protección marca los archivos del PC (Windows) desde internet para que las apps conozcan su fuente y detectar así potenciales amenazas. La constante evolución en las tácticas utilizadas por los ciberdelincuentes es todo un desafío para los profesionales del mundo de la ciberseguridad.
La geopolítica continúa siendo la principal palanca de las APT
Las campañas APT abarcan una gran cantidad de regiones: Europa, América Latina, Oriente Medio y distintas zonas de Asia. El ciberespionaje orientado a la geopolítica continúa siendo la nota predominante.
“Aunque algunos actores de amenazas usan técnicas conocidas de ingeniería social, otros actualizan sus herramientas y expanden sus actividades. Además, surgen continuamente nuevos actores, como la campaña ‘Operación Triangulación’. Este actor utiliza una plataforma de malware iOS desconocida hasta ahora que infecta a través de exploits de iMessage. Estar alerta, contar con la última inteligencia de amenazas y las herramientas de defensa adecuadas es crucial para la protección de las empresas frente a las amenazas tanto conocidas como nuevas. Nuestros informes de riesgos trimestrales desvelan las novedades más significativas de los grupos APT para que las organizaciones puedan combatir las amenazas con garantías”, explica David Emm, investigador principal de seguridad del área de investigación y análisis global de Kaspersky (GREaT).
Para evitar los ataques tanto conocidos como desconocidos, los expertos de Kaspersky recomiendan implementar las siguientes medidas:
- Actualizar el sistema operativo y el software de terceros. Mantener regularmente un programa de actualizaciones es fundamental para mantenerse protegido frente a posibles vulnerabilidades y riesgos de seguridad.
- Mejorar las habilidades de los equipos de ciberseguridad para abordar las últimas amenazas. Es interesante en este sentido la capacitación online de Kaspersky, desarrollada por los expertos de GReAT.
- Disponer de la última información de amenazas para estar al día de las TTPs utilizadas.
- Para la detección, investigación y resolución de incidentes a nivel de endpoint es importante implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
- Los servicios específicamente dedicados ayudan a combatir ciberataques de alto nivel. Kaspersky Managed Detection and Response ayuda a identificar y detener ataques en fase temprana, antes de que los ciberdelincuentes logren sus objetivos. En caso de incidente, Kaspersky Incident Response responderá de forma efectiva al mismo y minimizará sus consecuencias, identificando los nodos comprometidos y protegiendo la infraestructura de ataques similares que puedan producirse en el futuro.