Los analistas de Kaspersky han rastreado un cambio en el enfoque del grupo de amenazas persistentes avanzadas (APT) SideWinder hacia instalaciones de energía nuclear, expandiendo sus operaciones a zonas de Europa.
El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha descubierto una preocupante amenaza de doble vía del grupo SideWinder APT, que muestra un mayor enfoque en plantas de energía nuclear e instalaciones energéticas en el sur de Asia, así como a partes de Europa, entre otros. Este cambio hacia el sector nuclear ocurre en paralelo con la expansión geográfica del grupo más allá de sus áreas tradicionales de operación.
Activo desde al menos 2012, SideWinder ha apuntado históricamente a entidades gubernamentales, militares y diplomáticas. Sin embargo, el grupo ha ampliado su perfil de víctimas para incluir infraestructuras marítimas y empresas de logística, mientras fija nuevos objetivos en el sector nuclear. Los analistas de Kaspersky han notificado un aumento en los ataques dirigidos a agencias de energía nuclear mediante correos electrónicos de spear-phishing y documentos maliciosos cargados con terminología específica de la industria.
“Lo que estamos presenciando no es solo una expansión geográfica, sino una evolución estratégica en las capacidades y ambiciones de SideWinder. Pueden desplegar variantes de malware actualizadas con una velocidad notable después de ser detectadas, lo que transforma el panorama de amenazas de un enfoque reactivo a un combate casi en tiempo real”, apunta Vasily Berdnikov, analista principal de seguridad en Kaspersky GReAT.
A pesar de basarse en una vulnerabilidad antigua de Microsoft Office (CVE-2017-11882), SideWinder utiliza modificaciones rápidas en su conjunto de herramientas para evadir la detección. Al atacar infraestructuras nucleares, el grupo elabora correos electrónicos de spear-phishing convincentes que parecen tratar asuntos regulatorios o específicos de las plantas. Una vez abiertos, estos documentos inician una cadena de explotación que puede otorgar a los atacantes acceso a datos operativos, proyectos de investigación e información del personal de las instalaciones nucleares.
Kaspersky protege a las empresas contra estos ataques mediante múltiples capas de seguridad, incluyendo soluciones de gestión de vulnerabilidades, prevención de ataques en etapas tempranas, detección de amenazas en tiempo real con respuesta automatizada y reglas de detección continuamente actualizadas para alinearse con la evolución del malware de SideWinder.
Rastreando la actividad de SideWinder en 15 países y tres continentes, los expertos han observado numerosos ataques en Yibuti antes de que el grupo cambiara su enfoque a Egipto y lanzara operaciones adicionales en Austria, Bulgaria Mozambique, Camboya, Indonesia, Filipinas y Vietnam. Entidades diplomáticas en Afganistán, Argelia, Ruanda, Arabia Saudita, Turquía y Uganda también han sido atacadas, lo que ilustra aún más la expansión de SideWinder más allá del sur de Asia.
Para proteger infraestructuras críticas de ataques dirigidos sofisticados, los expertos en seguridad de Kaspersky recomiendan las siguientes medidas:
Implementa una gestión integral de parches. Kaspersky Vulnerability Assessment and Patch Management proporciona detección automatizada de vulnerabilidades y distribución de parches para eliminar brechas de seguridad en su infraestructura.
Despliega soluciones de seguridad multinivel con capacidades de detección de amenazas en tiempo real. Kaspersky Next XDR Expert recopila y correlaciona datos de múltiples fuentes utilizando tecnologías de aprendizaje automático para una detección eficaz de amenazas y una respuesta automatizada a ataques sofisticados.
Realiza formaciones regulares de concienciación en ciberseguridad para empleados, con especial enfoque en reconocer intentos sofisticados de spear-phishing.
El análisis técnico completo de las últimas operaciones de SideWinder está disponible en Securelist.
