Durante el segundo trimestre de 2017 hemos visto un universo de herramientas nuevas lanzadas por unos cibercriminales cada vez más sofisticados. Entre ellas se encuentran tres tipos de ataques de día cero, además de ransomware como WannaCry y ExPetr, dos ataques sin precedentes. Tras el análisis de estos dos últimos, se baraja la posibilidad de que su código se hubiera puesto en circulación antes de que estuviera completamente finalizado, algo muy extraño puesto que los ciberdelincuentes tienen muchos recursos.

Estos meses de abril, mayo y junio han sido testigos de unos desarrollos significativos en el mundo de los ataques dirigidos, sobre todo de manos de protagonistas de lengua rusa, inglesa, coreana y china. Estos avances tienen unas implicaciones muy importantes para la seguridad TI de las empresas ya que una sofisticada actividad, omnipresente por todo el mundo, incrementa el riesgo y hace que organizaciones no comerciales sean víctimas colaterales en la ciberguerra. Las epidemias destructivas de WannaCry y ExPetr han afectado a empresas y organizaciones en todo el mundo, y han sido el primer ejemplo, y no será el último, de una peligrosa tendencia.

Los puntos más destacables del segundo trimestre de 2017 son:

    • Tres ataques día cero en Windows lanzados por los conocidos cibercriminales de lengua rusa Sofacyy Turla. Sofacy, conocido también como APT28 o FancyBear, dirigió sus ataques contra una gran variedad de objetivos europeos, tanto gobiernos como organizaciones y partidos políticos. El ataque incluyó alguna herramienta experimental, dirigida especialmente contra un miembro de un partido francés antes de las elecciones presidenciales galas.
    • Gray Lambert – Kaspersky Lab ha analizado las, hasta el momento, avanzadas herramientas del grupo Lamberts, una familia de ciberespionaje de habla inglesa, de gran sofisticación y complejidad, y se han identificado dos nuevas familias de malware relacionadas.

 

  • El ataque de WannaCryel 12 de mayo y de ExPetr el 27 de junio. Muy diferentes tanto en naturaleza como en objetivos, ambos fueron sorprendentemente ineficaces como “ransomware”. Por ejemplo, en el caso de WannaCry, la rapidez de su expansión por todo el mundo y su destacada presencia mediática. puso los focos en la cuenta de Bitcoin utilizada por los atacantes para el pago de los rescates, haciendo que su conversión a efectivo fuera algo bastante complicado. Esto sugiere que el objetivo real del ataque de WannaCry era en realidad la destrucción de datos. Los expertos de Kaspersky Lab descubrieron más adelante, la existencia de lazos entre el grupo Lazarus y WannaCry. Este esquema de malware destructivo disfrazado de ransomware, volvió a aparecer en el ataque ExPetr.

 

  • ExPetr, que dirigió sus ataques contra organizaciones de Ucrania, Rusia y otros países europeos, inicialmente también parecía ser un ransomware, pero en realidad resultó ser algo puramente destructivo. Los motivos detrás de los ataques de ExPetr siguen siendo un misterio. Los expertos de Kaspersky Lab han encontrado algunos indicios que lo relacionan con un actor de amenazas conocido como Black Energy.

Deja un comentario