Expertos de Kaspersky Lab han identificado una coincidencia en los ciberataques de dos infames agentes de amenazas, GreyEnergy, que se cree es el sucesor de BlackEnergy, y el grupo de ciberespionaje Sofacy. Al mismo tiempo, ambos agentes utilizaron los mismos servidores, aunque cada uno de ellos lo hizo con un propósito diferente.
Los grupos de hackers BlackEnergy y Sofacy son considerados dos de los principales agentes en el panorama de las amenazas cibernéticas modernas. En el pasado, sus actividades a menudo llevaban a consecuencias devastadoras a nivel nacional. BlackEnergy infligió uno de los ataques cibernéticos más notorios de la historia con sus acciones contra instalaciones energéticas de Ucrania en 2015, lo que provocó varias interrupciones en el suministro de electricidad. Mientras tanto, el grupo Sofacy causó estragos con varios ataques contra organizaciones gubernamentales de Estados Unidos y Europa, además de agencias de seguridad e inteligencia nacional. Anteriormente, se había sospechado que existía una conexión entre los dos grupos, pero no se había comprobado hasta ahora, que se descubrió que GreyEnergy, sucesor de BlackEnergy, utilizaba malware para atacar objetivos de infraestructura industrial y crítica, principalmente en Ucrania, y demostró algunas fuertes similitudes arquitectónicas con BlackEnergy.
El departamento de ciberseguridad industrial (ICS) CERT de Kaspersky Lab, responsable de la investigación y eliminación de amenazas de sistemas industriales, encontró que dos servidores alojados en Ucrania y Suecia fueron utilizados por ambos agentes de amenazas al mismo tiempo en junio de 2018. El grupo GreyEnergy utilizó los servidores en su campaña de phishing para almacenar un archivo malicioso. Este archivo era descargado por los usuarios al abrir un documento de texto incluido en un correo electrónico de phishing. Al mismo tiempo, Sofacy usó los mismos servidores como centro de mando y control para su propio malware. Como ambos grupos utilizaron los servidores durante un tiempo relativamente corto, tal coincidencia sugiere una infraestructura compartida, lo que fue confirmado al observar que ambos agentes de amenazas atacaban a una compañía una semana después de la otra con correos electrónicos de phishing. Además, ambos grupos utilizaron documentos de phishing similares bajo el disfraz de correos electrónicos del Ministerio de Energía de la República de Kazajstán.
“La infraestructura comprometida que comparten estos dos agentes de amenaza potencialmente apunta al hecho de que la pareja no solo tiene el idioma ruso en común, sino que también cooperan entre sí. También proporciona una idea de sus capacidades en conjunto y una mejor imagen de sus posibles objetivos. Estos hallazgos agregan otra pieza importante al conocimiento público de GreyEnergy y Sofacy. Cuanto más sepa la industria sobre sus tácticas, técnicas y procedimientos, mejor trabajo podrán hacer los expertos en seguridad para proteger a los clientes contra ataques avanzados», dijo Maria Garnaeva, investigadora de seguridad de Kaspersky Lab ICS CERT.
Para proteger a las empresas contra los ataques de estos grupos, Kaspersky Lab sugiere a los clientes:
- Proporcionar capacitación dedicada sobre ciberseguridad a los empleados, educarles para que siempre verifiquen la dirección del enlace y el correo electrónico del remitente antes de hacer clic en cualquier cosa.
- Presentar iniciativas para crear conciencia sobre seguridad, incluida una fuerte capacitación con evaluaciones de habilidades y refuerzo mediante la repetición de ataques de phishing simulados.
- Automatizar las actualizaciones de los sistemas operativos, software de aplicaciones y soluciones de seguridad en los sistemas que forman parte de TI, así como en la red industrial de la empresa.
- Implementar una solución de protección dedicada, habilitada con tecnologías de suplantación de identidad (phishing) basadas en el comportamiento, así como tecnologías de ataque e inteligencia contra amenazas dirigidas, como la solución Kaspersky Threat Management and Defense. Estas soluciones pueden detectar y neutralizar ataques dirigidos avanzados analizando las anomalías de la red y dando al personal de ciberseguridad una visibilidad total sobre la red, así como automatización de respuesta.
Lea la versión completa del informe CERT de ICS de Kaspersky Lab aquí.