El mundo de las ciberamenazas avanzadas se transforma rápidamente. El rédito que encuentran los cibercriminales en estas prácticas es directamente proporcional a su aceleración en la innovación. El aumento de las ampañas de ciberespionaje sofisticadas, la explotación de amenazas de código abierto, y la creciente actividad hacktivista son puntos críticos.
Las ciberamenzas avanzadas afectan a sectores críticos de todo el mundo. Ninguna empresa, sin importa índole, tamaño o condición, está exenta de sufrirlo. Por ello, la necesidad de una vigilancia constante y colaboración global en ciberseguridad es más indispensable que nunca.
En este sentido, Kaspersky ha revelado las principales tendencias en el panorama de las amenazas persistentes avanzadas (APTs) en el último trimestre. Un panorama que ha acelerado su evolución apuntando a diversos sectores, con los sistemas gubernamentales, militares, de telecomunicaciones y judiciales enfrentando el mayor número de amenazas a nivel mundial:
- Explotación de amenazas de código abierto. Un desarrollo importante este trimestre fue la inserción de puertas traseras en XZ, una utilidad de compresión de código abierto ampliamente utilizada en distribuciones populares de Linux. Los atacantes emplearon técnicas de ingeniería social para obtener acceso persistente al entorno de desarrollo de software. El equipo GReAT de Kaspersky descubrió varios detalles que explican por qué esta amenaza pasó desapercibida durante años. Un factor clave fue que los atacantes implementaron una función anti-replay para evitar la captura o el secuestro de las comunicaciones de la puerta trasera. Además, utilizaron una técnica de esteganografía personalizada dentro del código x86 para ocultar la clave pública necesaria para descifrar la puerta trasera.
- Ataques de hacktivistas. La actividad hacktivista ha sido un aspecto significativo del panorama de amenazas este trimestre. Aunque la geopolítica a menudo impulsa acciones maliciosas, no todos los ataques registrados en el segundo trimestre estuvieron vinculados a zonas de conflicto activas. Un ejemplo destacado son los ataques del grupo Homeland Justice a entidades en Albania. Los atacantes lograron extraer más de 100 TB de datos, interrumpir webs oficiales y servicios de correo electrónico, y borrar servidores de bases de datos y copias de seguridad, causando daños extensos a las empresas objetivo.
- Actualización de conjuntos de herramientas. Los atacantes se tomaron el tiempo para actualizar sus conjuntos de herramientas. A principios de 2023, se descubrió al actor de amenazas GOFFEE cuando comenzó a usar una versión modificada de Owawa, un módulo malicioso de IIS monitorizado. Desde entonces, GOFFEE ha dejado de usar tanto Owawa como el implante RCE basado en PowerShell, VisualTaskel. Sin embargo, ha continuado sus intrusiones utilizando PowerTaskel, su anterior cadena de infección basada en HTA. Además, GOFFEE ha ampliado su kit de herramientas al introducir un nuevo cargador, disfrazado como un documento legítimo y distribuido por correo electrónico, mejorando aún más su capacidad para infiltrarse en los objetivos.
- Distribución geográfica. Ninguna región destacó como un foco de ataques APT este trimestre. En cambio, la actividad fue generalizada, afectando a todas las regiones. Este trimestre, las campañas APT apuntaron a Europa, América, Asia, Oriente Medio y África, lo que destaca el alcance global y el impacto de estas amenazas.
“Las APTs evolucionan continuamente, adaptando sus tácticas y ampliando su alcance, lo que las convierte en una fuerza implacable en el panorama cibernético. Para combatir estas amenazas en constante cambio, es crucial que la comunidad cibernética se una, compartiendo información y colaborando a través de fronteras. Solo a través de la vigilancia colectiva y la comunicación abierta podemos estar un paso por delante y proteger nuestro mundo digital”, comenta David Emm, Investigador Principal de Seguridad en GReAT de Kaspersky.