Un nuevo malware con capacidad destructora. El informe ICS CERT de Kaspersky revela la segunda parte del análisis de un malware de filtración de datos. En la primera fase realiza implantes de malware en los sistemas de las víctimas. Tras ello, extrae información de sistemas con brechas de aire o air gap (dispositivos y equipos aislados o desconectados de la red principal), allanando el terreno para la transmisión de los datos. Se trata de un ataque en Europa del Este.
Los analistas de Kaspersky fueron capaces de identificar dos tipos de implantes específicos en la segunda fase del ataque. Uno de los implantes es un malware modular sofisticado que infecta unidades extraíbles (USB, etcétera) a través de un gusano. Su objetivo es filtrar datos de equipos aislados o desconectados de empresas del sector industrial de Europa del Este mediante esas unidades de memoria. El otro tipo de implante está diseñado para robar datos de los ordenadores locales y enviarlos a una cuenta de Dropbox de los ciberatacantes.
SEGUNDA FASE DEL ATAQUE MALWARE
El malware está diseñado específicamente para filtrar datos de sistemas aislados de la red o sin conexión mediante la infección de las citadas unidades extraíbles. La herramienta maliciosa está compuesta de tres módulos, cada uno de ellos encargado de tareas diferentes: gestión de los dispositivos extraíbles, captura de datos e implantación de malware en las unidades recién conectadas.
A lo largo de la investigación, los analistas de Kaspersky constataron los esfuerzos de los ciberdelincuentes por evitar la detección de los sistemas defensivos de las empresas. Lo consiguen mediante la encriptación de un payload en archivos de datos binarios separados, así como a través de la incrustación de código malicioso en la memoria de aplicaciones legítimas a través de la técnica DLL Hijacking y de una serie de inyecciones de memoria.
los analistas de Kaspersky constataron los esfuerzos de los ciberdelincuentes por evitar la detección de los sistemas defensivos de las empresas
«Los esfuerzos de los ciberdelincuentes por ofuscar sus acciones a través de cargas encriptadas, inyecciones de memoria y secuestro de DLL hablan por sí solo de lo sofisticadas que son sus tácticas. Aunque la filtración de datos de redes aisladas es una estrategia recurrente adoptada por muchas APT y campañas de ciberespionaje, esta vez ha sido específicamente diseñada e implementada por el actor de amenazas. Kaspersky continúa ofreciendo protección contra estos y otros ataques cibernéticos, y colabora con la comunidad de ciberseguridad para difundir inteligencia de amenazas que se pueda procesar», explica Kirill Kruglov, investigador sénior de seguridad de Kaspersky.
Para mantener seguros los equipos OT, los expertos de Kaspersky recomiendan «realizar evaluaciones periódicas de seguridad en los sistemas OT para identificar y eliminar problemas de seguridad y evaluar y clasificar con regularidad las vulnerabilidades para su mejor gestión». Además, «soluciones específicamente dedicadas como Kaspersky Industrial CyberSecurity son eficaces, además de una fuente de información procesable única y no disponible para todos los públicos». Del mismo modo, recomiendan «actualizar los equipos de la red e instalar parches de seguridad, así como tomar las medidas que sean necesarias tan pronto como sea posible.
Consideran clave «el uso de soluciones EDR como Kaspersky Endpoint Detection and Response permite la detección de amenazas de alto nivel,
Estas acciones son cruciales para prevenir incidentes que paralizan los procesos productivos de las empresas con costes en muchas ocasiones millonarios». Consideran clave «el uso de soluciones EDR como Kaspersky Endpoint Detection and Response permite la detección de amenazas de alto nivel, así como la investigación y reparación efectiva de incidentes. Por último estiman que hay que «mejorar la respuesta a las nuevas técnicas de los ciberdelincuentes y fortalecer las habilidades de prevención, detección y respuesta de incidentes de los equipos. La capacitación específica en seguridad OT para el personal de seguridad de TI y el propio personal de OT es clave en este sentido.
KASPERSKY, EN DETALLE
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 220.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es
