El informe ICS CERT de Kaspersky revela la segunda parte del análisis de un malware de filtración de datos que ataca en Europa del Este. En la primera fase realiza implantes de malware en los sistemas de las víctimas. Tras ello, extrae información de sistemas con brechas de aire o air gap (dispositivos y equipos aislados o desconectados de la red principal), allanando el terreno para la transmisión de los datos.
Los analistas de Kaspersky fueron capaces de identificar dos tipos de implantes específicos en la segunda fase del ataque. Uno de los implantes es un malware modular sofisticado que infecta unidades extraíbles (USB, etcétera) a través de un gusano. Su objetivo es filtrar datos de equipos aislados o desconectados de empresas del sector industrial de Europa del Este mediante esas unidades de memoria. El otro tipo de implante está diseñado para robar datos de las computadoras locales y enviarlos a una cuenta de Dropbox de los ciberatacantes.
El malware está diseñado específicamente para filtrar datos de sistemas con brechas de aire mediante la infección de las citadas unidades extraíbles. La herramienta maliciosa está compuesta de tres módulos, cada uno de ellos encargado de tareas diferentes: gestión de los dispositivos extraíbles, captura de datos e implantación de malware en las unidades recién conectadas.
A lo largo de la investigación, los analistas de Kaspersky constataron los esfuerzos de los ciberdelincuentes por evitar la detección de los sistemas defensivos de las empresas. Lo consiguen mediante la encriptación de un payload en archivos de datos binarios separados, así como a través de la incrustación de código malicioso en la memoria de aplicaciones legítimas a través de la técnica DLL Hijacking y de una serie de inyecciones de memoria.
«Los esfuerzos de los ciberdelincuentes por ofuscar sus acciones a través de cargas encriptadas, inyecciones de memoria y secuestro de DLL hablan por sí solo de lo sofisticadas que son sus tácticas. Aunque la filtración de datos de redes aisladas es una estrategia recurrente adoptada por muchas APT y campañas de ciberespionaje, esta vez ha sido específicamente diseñada e implementada por el actor de amenazas. Kaspersky continúa ofreciendo protección contra estos y otros ataques cibernéticos, y colabora con la comunidad de ciberseguridad para difundir inteligencia de amenazas que se pueda procesar», explica Kirill Kruglov, investigador sénior de seguridad de Kaspersky.
Para mantener seguros los equipos de tecnología operativa (OT), los expertos de Kaspersky recomiendan:
- Realizar evaluaciones periódicas de seguridad en los sistemas OT para identificar y eliminar problemas de ciberseguridad
- Evaluar y clasificar con regularidad las vulnerabilidades para su mejor gestión. Soluciones específicamente dedicadas como Kaspersky Industrial CyberSecurity son eficaces, además de una fuente de información procesable única y no disponible para todos los públicos
- Actualizar los equipos de la red e instalar parches de seguridad, así como tomar las medidas que sean necesarias tan pronto como sea posible. Estas acciones son cruciales para prevenir incidentes que paralizan los procesos productivos de las empresas con costes en muchas ocasiones millonarios
- El uso de soluciones EDR como Kaspersky Endpoint Detection and Response permite la detección de amenazas de alto nivel, así como la investigación y reparación efectiva de incidentes
- Mejorar la respuesta a las nuevas técnicas de los ciberdelincuentes y fortalecer las habilidades de prevención, detección y respuesta de incidentes de los equipos. La capacitación específica en seguridad OT para el personal de seguridad de TI y el propio personal de OT es clave en este sentido
Puedes leer el informe completo en la página web de ICS CERT.
