Dos famosos grupos de hackers de habla rusa comparten infraestructura
Analistas de Kaspersky Lab han identifcado coincidencias en ciberataques llevados a cabo por dos actores de amenazas: GreyEnergy, que se cree que será el sucesor de BlackEnergy, y el grupo de ciberespionaje Sofacy.
Los dos actores utilizaron simultáneamente los mismos servidores, pero con un objetivo diferente en cada ocasión.
BlackEnergy y Sofacy están considerados como dos de los principales actores del panorama de ciberamenazas actual. Sus actividades a han causado consecuencias devastadoras en muchos países. En 2015, BlackEnergy lanzó uno de los ciberataques más famosos de la historia contra las instalaciones energéticas de Ucrania, provocando cortes de energía en todo el país. Por su parte, Sofacy causó estragos gracias a sus múltiples ataques dirigidos contra organizaciones gubernamentales y agencias de seguridad e inteligencia de EE.UU. y Europa.
El departamento ICS CERT de Kaspersky Lab, responsable de la investigación y eliminación de amenazas en sistemas industriales, encontró dos servidores, uno alojado en Ucrania y otro en Suecia, utilizados simultáneamente en junio de 2018 por ambos grupos. GreyEnergy utilizó estos servidores para almacenar archivos maliciosos en una campaña de phishing. Los usuarios descargaban el archivo malicioso al abrir un documento adjunto a un correo electrónico de phishing. Al mismo tiempo, Sofacy utilizó los servidores como centro de comando y control para su propio malware. El hecho que ambos grupos utilizaran los servidores durante un corto periodo de tiempo pero simultáneamente sugiere una infraestructura compartida. Este dato pudo confirmarse cuando se observó que ambos grupos atacaban a la misma compañía con correos de phishing y con apenas una semana de diferencia. Es más, ambos grupos utilizaron documentos de phishing similares, bajo la apariencia de emails remitidos por el Ministerio de Energía de la República de Kazajistán.
“La infraestructura comprometida y compartida por estos dos actores apunta potencialmente al hecho de que ambos no solo tienen el ruso como idioma común, sino que también cooperan entre sí. También da una idea de su capacidad y crea una imagen más nítida de sus posibles metas y objetivos potenciales. Estos hallazgos añaden otro elemento importante al conocimiento existente sobre GreyEnergy y Sofacy. Cuanto más sepa la industria sobre sus tácticas, técnicas y procedimientos, los expertos de seguridad podrán hacer mejor su trabajo a la hora de proteger a los clientes frente a ataques sofisticados”, dice Maria Garnaeva, analista de seguridad en Kaspersky Lab ICS CERT.
Para proteger a las empresas frente a los ataques de ambos grupos, Kaspersky Lab recomienda:
• Ofrecer a los empleados formación en ciberseguridad, educarlos para que comprueben siempre la dirección del enlace y el correo electrónico del remitente antes de hacer clic.
• Presentar iniciativas de concienciación en seguridad, incluida la formación con evaluaciones de competencias y entrenamiento mediante práctica de simulación de ataques.
• Automatizar las actualizaciones de los sistemas operativos, el software de las aplicaciones y las soluciones de seguridad en los sistemas que forman parte de las TI, así como de la red industrial de la empresa.
• Implementar una solución de protección dedicada, dotada de tecnologías anti-phishing basadas en conducta, tecnología anti-ataques dirigidos e información sobre amenazas.
