2do Q2018: el cibercrimen tuvo nuevos objetivos geopolíticos y algunas campañas en Asia

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Hubo indicios de que el notorio APT Lazarus/ BlueNoroff tenía por objetivo casinos en América Latina.

Durante el segundo trimestre de 2018, se observó un alto nivel de actividad en operaciones de amenazas persistentes avanzadas (APT, por sus siglas en inglés), principalmente en Asia, que involucran tanto a agentes de amenazas conocidos como a otros menos familiares.

Varios grupos seleccionaron o programaron sus campañas en torno a incidentes geopolíticos sensibles.

Durante abril, mayo y junio de 2018, los investigadores continuaron descubriendo nuevas herramientas, técnicas y campañas difundidas por grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés), algunos de los cuales habían permanecido en silencio durante años.

Asia siguió siendo el centro de interés de los APT: grupos regionales, como Lazarus y Scarcruft, de habla coreana, estuvieron especialmente ocupados y los investigadores descubrieron un implante llamado LightNeuron que estaba siendo utilizado por el grupo Turla de habla rusa para apuntar a objetivos en Asia Central y Medio Oriente.

Los puntos destacados en el segundo trimestre de 2018 incluyen:

  • El regreso de los actores detrás del Olympic DestroyerDespués de su ataque en enero de 2018 contra los Juegos Olímpicos de Invierno de Pyeongchang, los investigadores descubrieron lo que creían que era una nueva actividad de este agente, dirigido a organizaciones financieras en Rusia y laboratorios de prevención de amenazas bioquímicas en Europa y Ucrania. Varios indicadores sugieren una baja o mediana posibilidad de un vínculo entre el Olympic Destroyer y el agente de amenazas de habla rusa Sofacy.
  • Lazarus/BlueNoroff. Hubo indicios de que este notorio APT tenía por objetivo a instituciones financieras en Turquía como parte de una campaña de ciberespionaje más grande, así como a casinos en América Latina. Estas operaciones sugieren que la actividad con fines económicos continúa para este grupo, a pesar de las conversaciones de paz que están en curso en Corea del Norte.
  • Los investigadores observaron una actividad relativamente alta de la APT Scarcruft, en la que el agente de amenazas usa malware de Android y pone en marcha una operación con una nueva puerta trasera a la que los investigadores llaman POORWEB.
  • La APT LuckyMouse, un agente de amenazas de habla china -también conocido como APT 27- que ha abusado de proveedores de servicios de Internet en Asia para realizar ataques del tipo waterhole en sitios web conocidos, fue encontrada apuntando a entidades gubernamentales de Kazajistán y Mongolia mientras estos gobiernos se reunían en China.
  • La campaña VPNFilter descubierta por Cisco Talos y atribuida por el FBI a Sofacy o Sandworm, reveló la inmensa vulnerabilidad del hardware de redes domésticas y las soluciones de almacenamiento a los ataques.

Esta amenaza puede incluso inyectar malware en el tráfico para infectar computadoras que se encuentran detrás del dispositivo de red infectado.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS