Las empresas del sector industrial en Europa del Este fueron atacadas por un actor de amenazas utilizando implantes avanzados y malware novedoso. Los servicios de almacenamiento de datos basados en la nube se han utilizado para filtrar datos y luego propagar malware.
Kaspersky ha descubierto una serie de ataques dirigidos a empresas industriales en Europa del Este con el objetivo de establecer un canal persistente para la exfiltración de datos. Estos ataques compartían similitudes significativas con ataques estudiados anteriormente, como ExCone y DexCone; esto sugiere la participación de APT31, también conocido como Judgment Panda y Zirconium.
Los ataques utilizaron implantes avanzados diseñados para permitir el acceso remoto, lo que demuestra el amplio conocimiento y la experiencia de los actores de amenazas para evadir las medidas de seguridad. Estos ayudaron a establecer canales permanentes para la filtración de datos, incluso desde sistemas altamente seguros.
Exfiltración de datos a través de servicios de almacenamiento en la nube
Además, las técnicas de secuestro de DLL se utilizaron ampliamente, lo que permitió el uso indebido de ejecutables legítimos de terceros que son vulnerables a la carga de bibliotecas vinculadas dinámicamente maliciosas en su memoria. Esto debería evitar la detección durante la ejecución de múltiples implantes en las tres fases de ataque.
Se utilizaron servicios de almacenamiento en la nube como Dropbox y Yandex Disk y plataformas temporales de intercambio de archivos para filtrar los datos y luego distribuir malware. Además, los actores de amenazas implementaron una infraestructura de comando y control (C2) en Yandex Cloud, así como en servidores privados virtuales (VPS) regulares para mantener el control sobre las redes comprometidas.
Nuevas variantes del malware FourteenHi se dirigen a empresas industriales
Los ataques también implementaron nuevas variantes del malware FourteenHi, que se descubrió en 2021 durante la campaña ExCone dirigida a las agencias gubernamentales. Esto ha evolucionado desde entonces; Durante el último año han aparecido nuevas variantes que están específicamente dirigidas a la infraestructura de las empresas industriales. Los expertos de Kaspersky también encontraron el nuevo tipo de implante de malware MeatBall. Este es un implante de puerta trasera que tiene amplias capacidades de acceso remoto.
"No debemos subestimar los riesgos que representan para la industria los ataques dirigidos", dijo Kirill Kruglov, investigador principal de seguridad de Kaspersky ICS CERT. “Las empresas continúan digitalizando sus procesos y dependen de sistemas en red. Las posibles consecuencias de los ataques exitosos a la infraestructura crítica son significativas. Esta campaña APT que examinamos subraya la importancia crítica de las medidas integrales de ciberseguridad para proteger las infraestructuras industriales de las amenazas actuales y futuras”.
Recomendaciones de Kaspersky para proteger la tecnología operativa
- Realice evaluaciones periódicas de seguridad de los sistemas OT para identificar y eliminar posibles problemas de seguridad cibernética.
- Establecer una evaluación y clasificación continuas de la vulnerabilidad como base para un proceso eficaz de gestión de la vulnerabilidad. Las soluciones dedicadas, como Kaspersky Industrial CyberSecurity, brindan inteligencia procesable única que no está totalmente disponible públicamente y puede ayudar a proteger los sistemas.
- Realice actualizaciones oportunas de los componentes clave de la red OT. La aplicación de correcciones y parches de seguridad y la implementación de contramedidas tan pronto como sea técnicamente posible es crucial para evitar un incidente grave.
- Utilice una solución EDR como Kaspersky Endpoint Detection and Response para detectar, investigar y remediar incidentes de manera oportuna.
- Lleve a cabo una capacitación dedicada a la seguridad de OT para los equipos de seguridad de TI y el personal de OT para permitir que el equipo prevenga, detecte y responda a incidentes.
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/