Según expertos de la empresa, el malware es capaz de infectar unidades de memoria extraíble, así como robar datos de computadoras locales
.jpg)
El informe ICS CERT de Kaspersky ha presentado la segunda parte del análisis de un malware de filtración de datos que está atacando en Europa del Este. En la primera fase del ataque, se implantan malware en los sistemas de las víctimas. Luego, se extrae información de sistemas con brechas de aire o air gap, que son dispositivos y equipos aislados o desconectados de la red principal. Esto allana el camino para la transmisión de datos comprometidos.
En esta segunda fase del ataque, los analistas de Kaspersky han identificado dos tipos específicos de implantes. Uno de ellos es un malware modular avanzado que se propaga a través de un gusano, infectando unidades extraíbles como USB. Su objetivo es filtrar datos de equipos aislados en empresas del sector industrial de Europa del Este a través de estas unidades de memoria. El otro tipo de implante está diseñado para robar datos de las computadoras locales y enviarlos a una cuenta de Dropbox controlada por los ciberatacantes.
Este malware está especialmente diseñado para filtrar datos de sistemas con brechas de aire mediante la infección de unidades extraíbles. Consiste en tres módulos diferentes, cada uno responsable de una tarea específica: administración de dispositivos extraíbles, captura de datos e implantación de malware en unidades recién conectadas.
Durante la investigación, los analistas de Kaspersky notaron los esfuerzos de los ciberdelincuentes por evadir la detección de los sistemas de seguridad empresariales. Logran esto encriptando una carga útil en archivos binarios separados y mediante la incrustación de código malicioso en la memoria de aplicaciones legítimas, utilizando técnicas como DLL Hijacking e inyecciones de memoria.
Kirill Kruglov, investigador sénior de seguridad de Kaspersky, señala: "Los esfuerzos de los ciberdelincuentes por ocultar sus acciones a través de cargas encriptadas, inyecciones de memoria y secuestro de DLL demuestran por sí solos la sofisticación de sus tácticas. Aunque la filtración de datos desde redes aisladas es una estrategia recurrente utilizada por muchas APT y campañas de ciberespionaje, esta vez ha sido específicamente diseñada e implementada por este actor de amenazas".
Para asegurar los sistemas de tecnología operativa (OT), los expertos de Kaspersky recomiendan:
- Realizar evaluaciones periódicas de seguridad en los sistemas OT para identificar y resolver problemas de ciberseguridad.
- Evaluar y categorizar regularmente las vulnerabilidades para gestionarlas de manera efectiva. Soluciones como Kaspersky Industrial CyberSecurity son valiosas y proporcionan información única y procesable que no está disponible para el público en general.
- Mantener actualizados los equipos de red e instalar parches de seguridad. Tomar medidas rápidamente es crucial para prevenir incidentes costosos.
- Utilizar soluciones EDR como Kaspersky Endpoint Detection and Response para detectar amenazas de alto nivel y manejar incidentes de manera efectiva.
- Fortalecer la capacitación en seguridad OT para el personal de TI y OT, mejorando la respuesta a las nuevas tácticas de los ciberdelincuentes y fortaleciendo las habilidades de prevención, detección y respuesta de incidentes.
Publicar un comentario