Los expertos en seguridad de WithSecure han expuesto a Kapeka. El nuevo malware parece tener vínculos con el grupo de hackers ruso Sandworm. Varios factores indican claramente que el desarrollo y uso del malware están relacionados con la guerra entre Rusia y Ucrania: el momento, las ubicaciones y la probable conexión con el grupo ruso Sandworm.
Los investigadores de inteligencia de amenazas de WithSecure™ (anteriormente F-Secure Business) han descubierto un nuevo malware que se ha utilizado en ataques a objetivos en Europa Central y del Este desde al menos mediados de 2022. El malware, llamado Kapeka, puede vincularse a un grupo llamado Sandworm. Sandworm es un grupo de hackers ruso operado por el Cuartel General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU). El grupo es mejor conocido por sus ataques destructivos contra Ucrania en pos de los intereses rusos en la región.
Malware de puerta trasera con funcionalidad sigilosa
Kapeka es una puerta trasera flexible con múltiples funciones. No sólo sirve como conjunto de herramientas para los piratas informáticos en las etapas iniciales del ataque, sino que también proporciona acceso a largo plazo a los datos de la víctima. El análisis del malware, su aparición poco frecuente y su nivel de sigilo y sofisticación indican una actividad de nivel APT, normalmente ataques de piratería dirigidos por el estado.
El desarrollo y uso de Kapeka están estrechamente relacionados con la actual guerra entre Rusia y Ucrania. Desde la invasión ilegal, es probable que la puerta trasera se haya utilizado en ataques dirigidos a empresas de Europa Central y del Este.
Conexión con el grupo ruso Sandworm
"Estamos muy preocupados por Kapeka debido a sus vínculos con las campañas rusas de la APT, en particular con el grupo Sandworm", afirmó Mohammad Kazem Hassan Nejad, investigador de WithSecure Intelligence. “Los raros ataques dirigidos observados principalmente en Europa del Este apuntan a una herramienta hecha a medida para ataques de alcance limitado. Además, un análisis más detallado ha revelado similitudes con GreyEnergy, otro conjunto de herramientas que parece ser parte de Sandworm. Esto subraya las conexiones con el grupo e indica un mayor nivel de amenaza para posibles objetivos de ataque en Europa del Este”.
WithSecure observó por última vez la actividad de Kapeka en mayo de 2023. En particular, no se puede esperar que los actores estatales de amenazas detengan sus actividades o desmantelen sus herramientas en funcionamiento. Por lo tanto, los raros avistamientos de Kapeka pueden ser evidencia adicional de un ataque de piratería avanzada (APT) dirigido por el estado. Estos ataques pueden durar años (por ejemplo, en la guerra entre Rusia y Ucrania).
Más en WithSecure.com
Acerca de WithSecure WithSecure, anteriormente F-Secure Business, es el socio de confianza en ciberseguridad. Los proveedores de servicios de TI, los proveedores de servicios de seguridad gestionados y otras empresas confían en WithSecure, al igual que las grandes instituciones financieras, las empresas industriales y los principales proveedores de tecnología y comunicaciones. Con su enfoque de ciberseguridad orientado a los resultados, el proveedor de seguridad finlandés ayuda a las empresas a poner la seguridad en relación con las operaciones y a proteger los procesos y evitar interrupciones comerciales.