El malware RoarBAT detectado por el CERT ucraniano
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha informado de una campaña de phishing en curso que utiliza señuelos con temas de facturas para propagar el malware SmokeLoader. Los correos electrónicos se envían desde cuentas comprometidas y contienen un archivo ZIP que en realidad es un archivo políglota con un documento señuelo y un archivo JavaScript. Este archivo se utiliza para ejecutar el malware SmokeLoader, cuyo objetivo es descargar malware más eficaz en los sistemas infectados. CERT-UA ha atribuido esta actividad a UAC-0006, un actor de amenazas motivado financieramente que busca robar credenciales y transferir fondos sin autorización.
Además, la autoridad de ciberseguridad de Ucrania ha revelado un ataque destructivo contra organizaciones del sector público llevado a cabo por UAC-0165, un grupo que CERT-UA ha atribuido moderadamente al grupo Sandworm. El ataque involucró un malware de limpieza basado en secuencias de comandos por lotes llamado RoarBAT que buscaba recursivamente archivos con extensiones específicas y los eliminaba usando la utilidad legítima WinRAR. El grupo también comprometió los sistemas Linux utilizando un script bash que sobrescribía los archivos con cero bytes para evitar la detección.
El ataque fue facilitado por la falta de MFA al realizar conexiones remotas a VPN. El impacto destructivo del ataque causó daños en las computadoras electrónicas, equipos de servidores, lugares de trabajo de usuarios automatizados y sistemas de almacenamiento de datos.
¿Qué son los actores de amenazas persistentes avanzadas?
Los actores de amenazas persistentes avanzadas (APT) son atacantes cibernéticos altamente calificados y motivados que llevan a cabo campañas de espionaje cibernético dirigidas a largo plazo contra objetivos específicos, como agencias gubernamentales, infraestructura crítica o grandes corporaciones. Estos atacantes utilizan técnicas sofisticadas para obtener acceso no autorizado a información y sistemas confidenciales, con el objetivo de robar propiedad intelectual valiosa, información clasificada o datos financieros.
Las APT suelen utilizar una combinación de tácticas, como phishing selectivo, ingeniería social, malware y herramientas de acceso remoto para acceder a los sistemas específicos. Una vez que obtienen acceso, los actores de APT pueden establecer un punto de apoyo en la red, moverse lateralmente dentro del entorno de destino y permanecer sin ser detectados durante largos períodos de tiempo mientras extraen datos.
Los actores de APT a menudo están patrocinados por el estado, con el respaldo de los estados-nación u otras organizaciones grandes que tienen recursos significativos para respaldar sus operaciones cibernéticas. Sin embargo, también pueden estar motivados financieramente y trabajar en nombre de organizaciones criminales que buscan robar datos valiosos para obtener ganancias.
La defensa contra los ataques APT requiere un enfoque multifacético que incluya capacidades avanzadas de detección y respuesta a amenazas, sólidas prácticas de higiene de seguridad y monitoreo continuo de la actividad de la red en busca de signos de comportamiento sospechoso.
