Shuckworm: El equipo de hacking ruso que lleva a cabo una campaña de ciberespionaje en Ucrania
Los investigadores de seguridad de Symantec han presentado pruebas adicionales que demuestran que el equipo de hacking ruso conocido como Shuckworm ha estado llevando a cabo una campaña de ciberespionaje contra organizaciones en Ucrania.
De acuerdo con un informe del Servicio de Seguridad de Ucrania publicado en noviembre de 2021, Shuckworm, también conocido como Armageddon, Gamaredon, Primitive Bear y otros nombres, es relativamente nuevo en el mundo de los APT. El SSU cree que Shuckworm fue fundado en 2013 o 2014 y operaba inicialmente con un perfil muy bajo. A pesar de ser relativamente nuevo en el escenario, el SSU afirmó que "el grupo puede convertirse en una amenaza cibernética con consecuencias, cuya escala superará el efecto negativo de las actividades de [otros APT rusos conocidos como APT28, SNAKE y APT29]".
Symantec afirmó que sus hallazgos son consistentes con el informe del SSU, que indica que Shuckworm se ha vuelto más sofisticado desde 2017, lo que ha llevado a un grupo con malware personalizado para infiltrarse y herramientas legítimas para mantenerse conectado.
Anatomía de un ataque de ciberespionaje
Existen diversas metodologías que los APT utilizan para establecer una presencia permanente en las redes de las víctimas. En el caso particular estudiado por Symantec, Shuckworm probablemente utilizó un método de ingreso probado y verdadero: el phishing.
VER: Violación de contraseñas: por qué la cultura pop y las contraseñas no se llevan bien (PDF gratuito) (Newsmatic)
El ataque comenzó el 14 de julio de 2021 y continuó durante más de un mes, según lo aseguró Symantec, y todo comenzó con un documento de Word malicioso. "Solo cinco minutos después de abrir el documento, también se ejecuta un comando sospechoso para lanzar un archivo VBS malicioso", afirmó Symantec. Dicho archivo, a su vez, instaló el software de puerta trasera Pterodo que previamente se había vinculado a Shuckworm.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelLa creación de Pterodo es lo que el SSU afirma que marca la diferencia entre los primeros días de Shuckworm y su etapa más peligrosa. Antes de la creación de Pterodo, Shuckworm dependía de herramientas legítimas de acceso remoto como RMS y UltraVNC. Ahora, mediante el uso de Pterodo, Shuckworm puede comprometer sistemas y mantener el acceso mientras utiliza técnicas de "vivir de la tierra" (usando herramientas legítimas disponibles en el sistema infectado) para moverse lateralmente y robar credenciales.
"Entre el 29 de julio y el 18 de agosto, la actividad continuó y observamos que los atacantes desplegaron múltiples variantes de su puerta trasera VBS personalizada, así como scripts VBS y crearon tareas programadas similares a las detalladas anteriormente", señaló Symantec. Después del 18 de agosto, no se detectó más actividad en la máquina infectada.
Para aquellos que busquen indicadores de compromiso, Symantec identificó siete archivos binarios autoextraíbles que se han observado en los recientes ataques de Shuckworm:
- descend.exe
- deep-sunken.exe
- z4z05jn4.egf.exe
- defiant.exe
- y varias variantes de deep-green.exe
"Casi todos los archivos maliciosos sospechosos están compuestos por una palabra que comienza con la letra 'd', y algunos están compuestos por dos palabras separadas por un '-' (la primera palabra también comienza con 'd')", explicó Symantec.
El SSU afirmó en su informe de noviembre que Shuckworm ha sido responsable de más de 5,000 ataques, de los cuales 1,500 han sido contra sistemas gubernamentales de Ucrania, desde 2014. Symantec afirmó que "esta actividad muestra pocos signos de disminuir".
Cómo prevenir ataques de phishing en su organización
Los ataques de phishing y otras formas de ingeniería social pueden ser devastadores si tienen éxito. Para empeorar las cosas, los phishers continuamente evolucionan y cambian de táctica para adaptarse a la situación actual, como se ha demostrado durante la pandemia de COVID-19.
Cómo proteger tu computadora de los virus: métodos y consejosVER: Google Chrome: Consejos de seguridad y de interfaz de usuario que debes conocer (Newsmatic Premium)
A pesar de su capacidad para causar estragos en las organizaciones, los ataques de phishing pueden combatirse mediante la instalación de software de seguridad capaz de identificar archivos maliciosos en correos electrónicos, a través de una capacitación adecuada sobre cómo identificar el phishing y mediante la implementación de las mejores prácticas contra el phishing que protegerán sus sistemas en caso de que los usuarios fallen.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Shuckworm: El equipo de hacking ruso que lleva a cabo una campaña de ciberespionaje en Ucrania , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados