APT
Parece que Olympic Destroyer ha vuelto, un grupo de amenazas avanzadas que intentó sabotear los Juegos Olímpicos de Invierno de este año en Corea del Sur. Nuestros expertos han encontrado indicios de actividad similar a este grupo, pero esta vez tienen como objetivo organismos financieros en Rusia y laboratorios de prevención de amenazas biológicas y químicas en Holanda, Alemania, Francia, Suiza y Ucrania.
¿Cuál es el problema?
El Olimpic Destroyer original empleaba métodos de engaño muy sofisticados. En primer lugar, cargaba documentos en apariencia de confianza como señuelos con malware oculto. En segundo lugar, utilizaba mecanismos de ofuscación para esconder sus herramientas de las soluciones de protección. Y, por último, aunque no menos peculiar, utilizaba banderas falsas para complicar el análisis de amenazas.
Con esta amenaza, nos enfrentamos a una nueva oleada de documentos spear phishing, con cargas similares a las herramientas del Olympic Destroyer original. Todavía no hay rastros del gusano, pero los documentos que hemos visto hasta ahora pueden ser un síntoma de una etapa de reconocimiento (como en el 2017, cuando una etapa de reconocimiento precedió el sabotaje cibernético). Puedes encontrar información técnica sobre el malware y su infraestructura, junto con los indicadores de compromiso, en esta publicación de Securelist.
Nuevos intereses
Los nuevos objetivos del malware son lo realmente importante. Nuestro análisis de los señuelos demuestra que esta vez los ciberdelincuentes se están intentando infiltrar en laboratorios de prevención de amenazas biológicas y químicas. Entre sus nuevos objetivos, también están los organismos financieros rusos, aunque esto podría ser otra bandera falsa.
Además de los scripts ofuscados, los documentos contienen referencias a “Spiez Convergence” (una conferencia celebrada en Suiza para investigadores de amenazas bioquímicas), al agente nervioso que supuestamente se usó para envenenar a Sergei Skripal y a su hija en Inglaterra y órdenes del Ministerio de Sanidad de Ucrania.
Cómo puede afectar a tu empresa
Normalmente, cuando hablamos de amenazas extendidas mediante phishing, nuestro primer consejo es que llevemos más cuidado cuando abramos documentos sospechosos. Pero, por desgracia, no funcionaría en este caso, ya que los documentos no son sospechosos.
Estos señuelos creados para el ataque spear phishing se personalizan según la víctima. Por ello, nuestro consejo para las compañías y organizaciones de prevención e investigación de amenazas bioquímicas en Europa es que ejecuten auditorías de seguridad no programadas. Bueno, y que instalen soluciones de protección de confianza. Nuestros productos detectan y bloquean el malware relacionado con Olympic Destroyer.
