Grandes ataques dirigidos han manchado el segundo trimestre de 2017
Según Kaspersky Labs, durante este último periodo se ha podido ver un universo de herramientas nuevas lanzadas por unos cibercriminales cada vez más sofisticados. Entre ellas se encuentran tres tipos de ataques de día cero, además de WannaCry y ExPetr, dos ataques sin precedentes.
Estos meses de abril, mayo y junio han sido testigos de unos desarrollos significativos en el mundo de los ataques dirigidos, sucesos que tienen implicaciones muy importantes para la seguridad TI de las empresas. Las epidemias destructivas de WannaCry y ExPetr han afectado a empresas y organizaciones en todo el mundo, y han sido el primer ejemplo, y no será el último, de una peligrosa tendencia.
Kaspersky ha elaborado un informe sobre tendencias de amenazas dirigidas del segundo trimestre de este año que resume los contenidos de los informes confidenciales para suscriptores de Kaspersky Lab. Durante este periodo, el equipo global de análisis y estudios de la compañía ha elaborado 23 informes confidenciales para sus suscriptores, con datos sobre Indicadores de Compromiso (IOC) y reglas YARA para ayudar en el análisis forense y la caza de malware.
Los puntos más destacables del segundo trimestre de 2017 son. Por un lado, tres ataques día cero en Windows lanzados por los conocidos cibercriminales de lengua rusa Sofacy y Turla. Sofacy, conocido también como APT28 o FancyBear, dirigió sus ataques contra una gran variedad de objetivos europeos, tanto gobiernos como organizaciones y partidos políticos. El ataque incluyó alguna herramienta experimental, dirigida especialmente contra un miembro de un partido francés antes de las elecciones presidenciales galas.
Por otro lado, Kaspersky Lab ha analizado las avanzadas herramientas del grupo Lamberts, una familia de ciberespionaje de habla inglesa, de gran sofisticación y complejidad, y se han identificado dos nuevas familias de malware relacionadas.
También, el ataque de WannaCry el 12 de mayo y de ExPetr el 27 de junio. Muy diferentes tanto en naturaleza como en objetivos, ambos fueron sorprendentemente ineficaces como ransomware. Por ejemplo, en el caso de WannaCry, la rapidez de su expansión por todo el mundo y su destacada presencia mediática, puso los focos en la cuenta de bitcoin utilizada por los atacantes para el pago de los rescates, haciendo que su conversión a efectivo fuera algo bastante complicado. Esto sugiere que el objetivo real del ataque de WannaCry era en realidad la destrucción de datos. Los expertos de Kaspersky Lab descubrieron más adelante, la existencia de lazos entre el grupo Lazarus y WannaCry. Este esquema de malware destructivo disfrazado de ransomware, volvió a aparecer en el ataque ExPetr.
En el caos de ExPetr, que dirigió sus ataques contra organizaciones de Ucrania, Rusia y otros países europeos, inicialmente también parecía ser un ransomware, pero en realidad resultó ser algo puramente destructivo. Los motivos detrás de los ataques de ExPetr siguen siendo un misterio. Los expertos de Kaspersky Lab han encontrado algunos indicios que lo relacionan con un actor de amenazas conocido como Black Energy.
“Estamos convencidos de la importancia de disponer de una sólida red mundial de información que pueda ayudar en la defensa de redes críticas y sensibles. Con un ciberespionaje y un cibercrimen creciendo a gran velocidad, es fundamental que los todos los que luchamos contra ello nos unamos para compartir conocimientos y poder defendernos mejor frente a las amenazas” explica Juan Andres Guerrero-Saade, investigador de seguridad senior del equipo mundial de investigación y análisis de Kaspersky Lab.
