El tercer trimestre de 2017 mostró claramente que los agentes de habla china no han "desaparecido" y siguen estando muy activos, pues realizan campañas de ciberespionaje contra una amplia gama de países y sectores verticales de la industria.
El tercer trimestre de 2017 mostró claramente que los agentes de habla china no han "desaparecido" y siguen estando muy activos, pues realizan campañas de ciberespionaje contra una amplia gama de países y sectores verticales de la industria. En total, 10 de los 24 proyectos de investigación realizados por Kaspersky Lab sobre ataques dirigidos avanzados en el tercer trimestre se centraron en actividades atribuidas a varios agentes en la región china. De estas y otras tendencias trata el resumen trimestral más reciente de Kaspersky Lab sobre inteligencia relacionada con las amenazas.
La investigación realizada de julio a septiembre de 2017 reveló una serie de acontecimientos en el área de ataques dirigidos, entre otros, por agentes de amenazas de habla china, rusa, inglesa y coreana. En particular, los criminales chinos estuvieron especialmente activos durante este período. Su revitalización ha afectado no solo a varias organizaciones, sino también a organismos gubernamentales y políticos, así como a grandes tratados regionales, lo que ha llevado a las relaciones internacionales al campo de estos ataques dirigidos avanzados.
Los puntos destacados durante el tercer trimestre de 2017 incluyen:
- Aumento de ataques de ciberespionaje por agentes de habla china. Los ataques más interesantes fueron Netsarang/ShadowPad y CCleaner, ambos implicaban la incorporación de puertas traseras específicas en paquetes de instalación de software legítimo. Tan solo CCleaner logró infectar dos millones de computadoras, lo que lo convirtió en uno de los mayores ataques de 2017.
- Creciente interés de los agentes de habla china en ataques a instalaciones estratégicas y sectores de la economía. Al menos dos informes separados proporcionan casos claros sobre este punto:
- El ataque IronHusky contra compañías de aviación rusas y mongolas e institutos de investigación. Esta campaña fue descubierta en julio, cuando los dos países fueron atacados con una variante de Poison Ivy, por un agente de amenazas de habla china. El ataque estaba relacionado con las perspectivas de defensa aérea de Mongolia, un tema clave de las negociaciones celebradas con Rusia a principios de año.
- El ataque de H2ODecomposition en los sectores energéticos de la India y Rusia. Los sectores de energía de ambos países fueron atacados con un nuevo malware denominado "descomposición H2OD". En algunos casos, este malware se hacía pasar por una popular solución antivirus india (QuickHeal).
Además, en el tercer trimestre de 2017 los expertos de Kaspersky Lab emitieron varios informes sobre agentes de habla rusa. La mayoría de ellos se dedicaban a ataques de tipo financiero y a cajeros automáticos; sin embargo, un informe examinó la actividad de Sofacy durante el verano, indicando que el grupo se mantenía activo.
Hablando de agentes de habla inglesa, el tercer trimestre también produjo otro miembro más de los Lamberás: Red Lambert. The Lamberts es una familia de herramientas avanzadas de ataque que ha sido utilizada por uno o varios agentes de amenazas contra víctimas de alto perfil, por lo menos desde 2008. El Red Lambert es una puerta trasera controladas desde la red, descubierta durante el análisis anterior de Grey Lambert y utilizada en lugar de certificados SSL codificados en comunicaciones de mando y control.
"El panorama de las amenazas dirigidas evoluciona constantemente, no solo porque los ciberdelincuentes están cada vez mejor preparados y más avanzados tecnológicamente, sino también en términos geográficos. El aumento de los agentes de habla china demuestra una vez más la importancia de invertir en inteligencia sobre amenazas y en armar a las organizaciones con información sobre las más recientes tendencias y acontecimientos", dijo Dmitry Bestuzhev, Director del Equipo de Investigación y Análisis para Kaspersky Lab América Latina.
El informe de Tendencias de APT para el tercer trimestre, disponible solo para suscriptores de Kaspersky Lab, resume los hallazgos de los informes sobre inteligencia de amenazas. Durante el tercer trimestre de 2017, el Equipo de Investigación y Análisis Global de Kaspersky Lab creó 24 informes privados para suscriptores, con datos de Indicadores de Peligro (IOC, por sus siglas en inglés) y reglas YARA para ayudar en la investigación forense y la búsqueda de malware.
Para más información por favor contacte a: intelreports@kaspersky.com