Analistas de la firma de ciberseguridad Kaspersky Lab han identificado coincidencias en ciberataques llevados a cabo por dos grupos: GreyEnergy, considerado como el ‘heredero’ de BlackEnergy, y Sofacy. Los dos ciberatacantes utilizaron simultáneamente los mismos servidores, pero con un objetivo diferente en cada ocasión.

BlackEnergy y Sofacy están considerados como dos de los principales actores del panorama de ciberamenazas actual. Sus actividades han causado consecuencias devastadoras en muchos países. En 2015, BlackEnergy lanzó uno de los ciberataques más famosos de la historia contra las instalaciones energéticas de Ucrania, provocando cortes de energía en todo el país. Y Sofacy causó estragos gracias a sus múltiples ataques dirigidos contra organizaciones gubernamentales y agencias de seguridad e inteligencia de EE.UU. y Europa.

El departamento ICS CERT de Kaspersky Lab, responsable de la investigación y eliminación de amenazas en sistemas industriales, encontró dos servidores, uno alojado en Ucrania y otro en Suecia, utilizados simultáneamente en junio de 2018 por ambos grupos.

GreyEnergy utilizó estos servidores para almacenar archivos maliciosos en una campaña de phishing. Los usuarios descargaban el archivo malicioso al abrir un documento adjunto a un correo electrónico de phishing.

Sofacy utilizó los servidores como centro de comando y control para su propio malware.

«El hecho que ambos grupos utilizaran los servidores durante un corto periodo de tiempo pero simultáneamente sugiere una infraestructura compartida. Este dato pudo confirmarse cuando se observó que ambos grupos atacaban a la misma compañía con correos de phishing y con apenas una semana de diferencia. Es más, ambos grupos utilizaron documentos de phishing similares, bajo la apariencia de emails remitidos por el Ministerio de Energía de la República de Kazajistán», explican en Kaspersky Lab.

“La infraestructura comprometida y compartida por estos dos actores apunta potencialmente al hecho de que ambos no solo tienen el ruso como idioma común, sino que también cooperan entre sí. También da una idea de su capacidad y crea una imagen más nítida de sus posibles metas y objetivos potenciales. Estos hallazgos añaden otro elemento importante al conocimiento existente sobre GreyEnergy y Sofacy. Cuanto más sepa la industria sobre sus tácticas, técnicas y procedimientos, los expertos de seguridad podrán hacer mejor su trabajo a la hora de proteger a los clientes frente a ataques sofisticados”, subraya Maria Garnaeva, analista de seguridad en Kaspersky Lab ICS CERT.

Consejos a las empresas

Para proteger a las empresas frente a estos ciberataques, Kaspersky Lab recomienda:

1.-Ofrecer a los empleados formación en ciberseguridad, educarlos para que comprueben siempre la dirección del enlace y el correo electrónico del remitente antes de hacer clic.

2.-Presentar iniciativas de concienciación en seguridad, incluida la formación con evaluaciones de competencias y entrenamiento mediante práctica de simulación de ataques.

3.-Automatizar las actualizaciones de los sistemas operativos, el software de las aplicaciones y las soluciones de seguridad en los sistemas que forman parte de las tecnologías de la información, así como de la red industrial de la empresa.

y 4.-Implementar una solución de protección dedicada, dotada de tecnologías anti-phishing basadas en conducta, tecnología anti-ataques dirigidos e información sobre amenazas. Este tipo de soluciones son capaces de detectar y detener ataques dirigidos avanzados al analizar las anomalías de la red, y ofrecer a los equipos de ciberseguridad visibilidad total sobre la red y respuesta automática.