Ciberdelincuentes rusos APT29 utilizan Dropbox y Google Drive como almacenamiento ‘online’
Cuando el uso de servicios confiables se combina con el cifrado, se torna extremadamente difícil para las organizaciones detectar actividad maliciosa, algo de lo que se valen los ciberdelincuentes.
- “La evolución del cibercrimen se nos está yendo de las manos”
- Geopolítica y ciberamenazas, una unión indisoluble
- Los ataques de 'malware' se disparan hasta un 358% desde 2019
- Aumentan las detecciones de 'malware' por el 'rebote de COVID'
- El 73% de las organizaciones, atacadas con 'ransomware' más de dos veces en un año
Organizaciones de todo el mundo depositan su confianza en lo que son considerados servicios de almacenamiento en línea con garantías, como es el caso de Dropbox y Google Drive para realizar sus operaciones diarias. Sin embargo, una investigación reciente de Paloalto Networks revela que los ciberatacantes están encontrando formas de aprovechar esa confianza para hacer que sus ataques sean extremadamente difíciles de detectar y prevenir. Las últimas campañas realizadas por una amenaza persistente avanzada (APT) que rastrearon como Cloaked Ursa (también conocida como APT29, Nobelium o Cozy Bear) demuestran la sofisticación y la capacidad de integrar rápidamente servicios populares de almacenamiento en la nube para evitar la detección.
El uso de servicios en la nube legítimos y confiables no es completamente nuevo para este grupo. Así, con el foco puesto sobre esta tendencia se ha descubierto que sus dos últimas campañas aprovecharon los servicios de almacenamiento en la nube de Google Drive por primera vez. La naturaleza omnipresente de los servicios de almacenamiento en la nube de Google Drive, combinada con la confianza que tienen en ellos millones de clientes en todo el mundo, hace que su inclusión en el proceso de entrega de malware de esta APT sea excepcionalmente preocupante. Y es que cuando el uso de servicios confiables se combina con el cifrado se vuelve extremadamente difícil para las organizaciones detectar una actividad maliciosa.
¿Afiliación al gobierno ruso?
La industria de la ciberseguridad ha considerado durante mucho tiempo que Cloaked Ursa está afiliada al gobierno ruso. Esto se alinea con el enfoque de orientación histórico del grupo, que se remonta a las campañas de malware contra Chechenia y otros países del antiguo bloque soviético en 2008. En los últimos años, el hackeo del Comité Nacional Demócrata de los Estados Unidos (DNC) acaecido en 2016 también ha sido atribuido al grupo, así como los compromisos de la cadena de suministro de SolarWinds en 2020. Aumentando la especificidad de la atribución, tanto Estados Unidos como el Reino Unido han señalado públicamente la pertenencia de este grupo al Servicio de Inteligencia Exterior (SVR) de Rusia.
Campañas de phishing
En los últimos seis meses, los ciberdelincuentes que integran Cloaked Ursa han lanzado varias campañas de phishing dirigidas a misiones diplomáticas extranjeras según apunta la propia investigación. Desde principios de mayo, Cloaked Ursa ha seguido desarrollando sus capacidades para entregar malware utilizando los populares servicios de almacenamiento en línea. Sus dos campañas más recientes demuestran su sofisticación y su capacidad para ofuscar la implementación de su malware mediante el uso de los servicios de DropBox y Google Drive. Sin lugar a dudas se trata de la nueva táctica empleada por este actor difícil de detectar debido a la naturaleza omnipresente de estos servicios y al hecho de que millones de clientes en todo el mundo confían en ellos.
