Ataques día cero y “ransomware” en alza, así ha sido el segundo trimestre APT de 2017

Durante el segundo trimestre de 2017 hemos visto un universo de herramientas nuevas lanzadas por unos cibercriminales cada vez más sofisticados. Entre ellas se encuentran tres tipos de ataques de día cero, además de WannaCry y ExPetr, dos ataques sin precedentes. Tras el análisis de estos dos últimos, se baraja la posibilidad de que su código se hubiera puesto en circulación antes de que estuviera completamente finalizado, algo muy extraño puesto que los ciberdelincuentes tienen muchos recursos.

Estos meses de abril, mayo y junio han sido testigos de unos desarrollos significativos en el mundo de los ataques dirigidos, sobre todo de manos de protagonistas de lengua rusa, inglesa, coreana y china. Estos avances tienen unas implicaciones muy importantes para la seguridad TI de las empresas ya que una sofisticada actividad, omnipresente por todo el mundo, incrementa el riesgo y hace que organizaciones no comerciales sean víctimas colaterales en la ciberguerra. Las epidemias destructivas de WannaCry y ExPetr han afectado a empresas y organizaciones en todo el mundo, y han sido el primer ejemplo, y no será el último, de una peligrosa tendencia.

Los puntos más destacables del segundo trimestre de 2017 son:

• Tres ataques día cero en Windows lanzados por los conocidos cibercriminales de lengua rusa Sofacy y Turla. Sofacy, conocido también como APT28 o FancyBear, dirigió sus ataques contra una gran variedad de objetivos europeos, tanto gobiernos como organizaciones y partidos políticos. El ataque incluyó alguna herramienta experimental, dirigida especialmente contra un miembro de un partido francés antes de las elecciones presidenciales galas.
• Gray Lambert - Kaspersky Lab ha analizado las, hasta el momento, avanzadas herramientas del grupo Lamberts, una familia de ciberespionaje de habla inglesa, de gran sofisticación y complejidad, y se han identificado dos nuevas familias de malware relacionadas.
• El ataque de WannaCryel 12 de mayo y de ExPetr el 27 de junio. Muy diferentes tanto en naturaleza como en objetivos, ambos fueron sorprendentemente ineficaces como “ransomware”. Por ejemplo, en el caso de WannaCry, la rapidez de su expansión por todo el mundo y su destacada presencia mediática. puso los focos en la cuenta de Bitcoin utilizada por los atacantes para el pago de los rescates, haciendo que su conversión a efectivo fuera algo bastante complicado. Esto sugiere que el objetivo real del ataque de WannaCry era en realidad la destrucción de datos. Los expertos de Kaspersky Lab descubrieron más adelante, la existencia de lazos entre el grupo Lazarus y WannaCry. Este esquema de malware destructivo disfrazado de ransomware, volvió a aparecer en el ataque ExPetr.
• ExPetr, que dirigió sus ataques contra organizaciones de Ucrania, Rusia y otros países europeos, inicialmente también parecía ser un ransomware, pero en realidad resultó ser algo puramente destructivo. Los motivos detrás de los ataques de ExPetr siguen siendo un misterio. Los expertos de Kaspersky Lab han encontrado algunos indicios que lo relacionan con un actor de amenazas conocido como Black Energy.

“Estamos convencidos de la importancia de disponer de una sólida red mundial de información que pueda ayudar en la defensa de redes críticas y sensibles. Con un ciberespionaje y un cibercrimen creciendo a gran velocidad, es fundamental que los todos los que luchamos contra ello nos unamos para compartir conocimientos y poder defendernos mejor frente a las amenazas” explica Juan Andres Guerrero-Saade, investigador de seguridad senior del equipo mundial de investigación y análisis de Kaspersky Lab.

El informe sobre tendencias de amenazas dirigidas del 2T resume los contenidos de los informes confidenciales para suscriptores de Kaspersky Lab. Durante el segundo trimestre de 2017, el equipo global de análisis y estudios de Kaspersky Lab ha elaborado 23 informes confidenciales para sus suscriptores, con datos sobre Indicadores de Compromiso (IOC) y reglas YARA para ayudar en el análisis forense y la caza de malware.

Para más información, puede ponerse en contacto escribiendo a intelreports@kaspersky.com