En el segundo trimestre de 2022, los analistas de Kaspersky observaron que los actores de amenazas persistentes avanzadas (APT) se dirigían cada vez más al sector de las criptomonedas. Utilizando contenidos relacionados con las criptomonedas y advertencias de las fuerzas de seguridad como cebo, el actor detrás de esta campaña nueva y muy activa, llamada "NaiveCopy", atacó a inversores en acciones y criptomonedas en Corea del Sur. Un análisis más detallado de las tácticas y técnicas de NaiveCopy reveló otra campaña relacionada que estuvo activa el año anterior y que tenía como objetivo entidades desconocidas tanto en México como en el Reino Unido. Esto, junto con otros descubrimientos, se revela en el último resumen trimestral de inteligencia frente a amenazas de Kaspersky.
Los actores de las APT cambian continuamente sus tácticas, perfeccionan sus herramientas y desarrollan nuevas técnicas. Para ayudar a los usuarios y a las empresas a seguir estos cambios y a mantenerse informados sobre las posibles amenazas a las que podrían enfrentarse, el equipo de Investigación y Análisis Global de Kaspersky (GReAT) ofrece informes trimestrales sobre los avances más importantes en el panorama de las amenazas persistentes avanzadas. El informe trimestral sobre las tendencias de las APT se elabora utilizando la investigación privada de inteligencia frente a amenazas de Kaspersky e incluye los principales desarrollos e incidentes cibernéticos que los investigadores consideran que todo el mundo debería conocer.
En el segundo trimestre de 2022, los analistas de Kaspersky descubrieron una nueva campaña muy activa que había comenzado en marzo y que tenía como objetivo a los inversores en acciones y criptomonedas. Este comportamiento es bastante inusual teniendo en cuenta que la mayoría de los actores de APT no suelen perseguir beneficios financieros. Los ciberdelincuentes utilizaron contenidos relacionados con las criptomonedas y denuncias de las fuerzas de seguridad como ganchos para atraer a sus víctimas. Las cadenas de infección incluían la inyección remota de plantillas, generando una macro maliciosa que iniciaba un procedimiento de infección en varias fases utilizando Dropbox. Después de enviar la información del host de la víctima, el malware intenta obtener la carga útil de la etapa final.
Afortunadamente, los expertos de Kaspersky pudieron adquirir el payload de la etapa final, que consiste en varios módulos utilizados para exfiltrar información sensible de la víctima. Al analizar esta carga útil, los analistas de Kaspersky encontraron muestras adicionales que habían sido utilizadas hace un año durante otra campaña contra entidades de México y Reino Unido.
No se ha encontrado ninguna conexión precisa con actores de amenazas conocidos, sin embargo, se cree que están familiarizados con el idioma coreano y que han utilizado una táctica similar empleada anteriormente por el grupo Konni para robar las credenciales de inicio de sesión de un reconocido portal de Corea. El grupo Konni es un actor de amenazas que ha estado activo desde mediados de 2021, dirigiéndose principalmente a entidades diplomáticas rusas.
“En el transcurso de varios trimestres, hemos visto a los actores de APT dirigir su atención hacia la industria de las criptomonedas. Utilizando diversas técnicas, los ciberdelincuentes no solo buscan información, sino también dinero. Esta es una tendencia inusual, pero creciente, en el panorama de las APT. Para combatir las amenazas, la inteligencia frente a amenazas es un componente esencial que permite anticiparse de forma fiable a este tipo de ataques", explica David Emm, investigador principal de seguridad de GReAT de Kaspersky.
Para evitar ser víctima de un ataque dirigido por un ciberdelincuente, los expertos de Kaspersky recomiendan implementar las siguientes medidas:
- Proporcionar al equipo SOC acceso a la última inteligencia frente a amenazas. El Portal de Inteligencia Frente a Amenazas de Kaspersky es un punto de acceso único y proporciona datos de ciberataques y conocimientos recopilados por Kaspersky durante más de 20 años.
- Implementar soluciones EDR para la detección a nivel de endpoints, así como investigar y remediar rápidamente los incidentes.
- Además de adoptar una protección esencial para los endpoint, es importante implementar una solución de seguridad de nivel corporativo que detecte las amenazas avanzadas en el nivel de la red en una fase temprana, como Kaspersky Anti Targeted Attack Platform.
- Proporcionar al equipo una formación básica sobre ciberseguridad desarrollada por los expertos de GReAT.
Toda la información está disponible en Securelist,
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es
