LAS CRÓNICAS DE HELLSING: UNA HISTORIA DE ESPÍA VS. ESPÍA
Kaspersky
Lab registra caso raro e inusual de un ciberdelincuente que ataca a otro
Kaspersky
Lab ha registrado un ejemplo raro
e inusual de un ciberdelincuente que ataca a otro. En 2014, Hellsing, un grupo
de ciberespionaje pequeño y técnicamente ordinario dirigido principalmente a
organizaciones gubernamentales y diplomáticas en Asia, fue sujeto de un ataque
de spear-phishing por otro actor de amenazas y decidió contraatacar. Kaspersky
Lab cree que esto podría marcar el inicio de una nueva tendencia en la
ciberactividad delictiva: las guerras de APT(amenazas persistentes
avanzadas).
El descubrimiento fue
realizado por los expertos de Kaspersky Lab durante una investigación en la
actividad de Naikon, un grupo de ciberespionaje que también se enfocaba en
organizaciones en la región Asia-Pacífico. Los expertos notaron que uno de los
blancos de Naikon había detectado el intento de infectar sus sistemas con un
correo de spear-phishing que contenía un anexo malicioso.
El receptor (blanco
de los ciberdelincuentes) cuestionó la autenticidad del correo electrónico con
el remitente y, aparentemente no satisfecho con la respuesta, no abrió el
archivo anexo. Un poco más tarde el receptor reenvió al remitente un correo que
contenía el propio malware recibido. Esta acción provocó la investigación de
Kaspersky Lab y llevó al descubrimiento del grupo APT Hellsing.
El método de
contraataque indica que Hellsing quiso identificar al grupo Naikon y reunir
inteligencia sobre él. El análisis más profundo del actor de amenazas Hellsing
por Kaspersky Lab revela un rastro de correos spear-phishing con archivos
anexos maliciosos diseñados para propagar malware de espionaje entre diferentes
organizaciones. Si la víctima abría el archivo adjunto
malicioso, su sistema se infectaba con un backdoor personalizado capaz de
descargar y cargar archivos, actualizarse y desactualizarse. Según las
observaciones de Kaspersky Lab, el número de organizaciones atacadas por
Hellsing es de unas 20.
Objetivos de Hellsing
La compañía ha
detectado y bloqueado malware de Hellsing en Malasia, Filipinas, India,
Indonesia y los Estados Unidos, y la mayoría de las víctimas se localizan en
Malasia y Filipinas. Los atacantes también son muy selectivos en función del
tipo de las organizaciones objetivo, procurando infectar en su mayor parte
instituciones gubernamentales y diplomáticas.
"El ataque
del grupo Naikon por Hellsing, en un tipo de cacería vampirezca vengativa - al
estilo de "El Imperio contraataca"; es fascinante. Anteriormente, ya
habíamos visto a grupos APT atacarse por accidente entre sí al robar libretas
de direcciones de víctimas y luego enviarse correos masivos en cada una de
estas listas. Sin embargo, teniendo en cuenta el objetivo y el origen del ataque,
parece más probable que se trate de un ejemplo de ataque APT contra APT
deliberado", dijo Costin Raiu, Director del Equipo Global
de Análisis e Investigación Global de Kaspersky Lab.
Según el análisis de
Kaspersky Lab, el actor de la amenaza Hellsing ha estado activo desde por lo
menos el 2012 y sigue activo.
Protección
Para protegerse
contra los ataques de Hellsing, Kaspersky Lab recomienda las siguientes mejores
prácticas de seguridad básica:
· No abra archivos anexos sospechosos de personas que
usted no conoce
· Tenga cuidado con archivos protegidos con contraseña
que contengan SCR u otros archivos ejecutables
· Si no está seguro del archivo anexo, trate de
abrirlo en un "sandbox" (espacio aislado)
· Asegúrese de que tiene un sistema operativo moderno
con todos los parches instalados
· Actualice todas las aplicaciones de terceros como
Microsoft Office, Java, Flash Player de Adobe y Adobe Reader.
Los productos de
Kaspersky Lab detectan exitosamente y bloquean el malware utilizado por los
actores de Hellsing y Naikon.
Información adicional
acerca del actor de amenazas Hellsing y de la campaña de espionaje ‘El
Imperio Contraataca’ está disponible enSecurelist.com.
No hay comentarios:
Publicar un comentario