Check Point Research, la división de Inteligencia de Amenazas de la firma de ciberseguridad, ha detectado un ciberataque organizado por un grupo APT chino contra el Ministerio de Asuntos Exteriores de Mongolia. Este grupo, aprovechando el flujo de noticias y alerta general en torno a la expansión del coronavirus, suplantó la identidad del Ministerio de Relaciones Exteriores de Mongolia y envío documentos adjuntos maliciosos a través de correos electrónicos a los funcionarios del país. El objetivo era persuadirles, utilizando mensajes centrados en la situación actual con respecto a este virus, para que dieran a los cibercriminales de este grupo acceso remoto a la red y dejaran una puerta abierta para el robo de información confidencial.
Uno de los dos documentos relacionados con COVID-19, se titulaba “Sobre la propagación de nuevas infecciones de Coronavirus» e incluso citaba al Comité Nacional de Salud de China. Check Point pudo rastrear el ciberataque y detectar la autoría gracias a la extracción de las huellas dactilares que dejaron los hackers en el propio código del malware almacenado en sus servidores, que estuvieron al descubierto durante unos segundos en Internet. Gracias a esos datos, los investigadores pudieron descubrir el origen de la cadena en el grupo chino APT, que lleva operando desde 2016 y tiene como objetivo habitual entidades públicas y empresas de telecomunicaciones de distintos lugares del mundo: Rusia, Ucrania, Bielorrusia y ahora Mongolia.
Este grupo de cibercriminales infectaba los archivos adjuntos con un virus conocido como RoyalRoad, que descarga un archivo en la carpeta de inicio de Word para llevar a cabo una “técnica de persistencia”, que consiste en que cada vez que inicia esta aplicación, se inicia una cadena de infección en todos los archivos con extensión WLL. De esta forma, independientemente del archivo que se abra con Word, se produce la descarga de malware que infecta el equipo del usuario y permite acceder y robar grandes cantidades de información sensible
Por otra parte, el cibercriminal que se encuentra detrás de este ciberataque operaba el servidor C&C dentro de una ventana diaria limitada, poniéndose en línea sólo unas pocas horas cada día, lo que hace más difícil analizar y acceder a las partes avanzadas de la cadena de infección. Este hecho, pone de manifiesto cómo los cibercriminales aprovechan temáticas variadas para lanzar campañas masivas de ciberataques.
Check Point ha registrado más de 4.000 dominios relacionados con el coronavirus en todo el mundo, y estos dominios son un 50% más maliciosos que la media.
«El COVID-19 no sólo representa una amenaza física, sino también una ciberamenaza», señala Lotem Finkelsteen, jefe de Inteligencia de Amenazas de Check Point. «Todas las empresas públicas y de telecomunicaciones a nivel mundial deberían proteger sus documentos y sitios web relacionados con el coronavirus», añade.
El virus Emotet se propaga por SMS
Por otra parte, el Índice Global de Amenazas de febrero de 2020 registra un gran aumento de ataques dirigidos a explotar una vulnerabilidad y difundir la botnet Mirai, que permite infectar dispositivos Internet de las Cosas (loT) y llevar a cabo ataques masivos de denegación de servicio (DDoS). La vulnerabilidad, conocida como “PHP php-cgi Query String Parameter Code Execution”, ha afectado a un 20% de las empresas en el mundo, 10 veces más que en enero.
El equipo de investigación de Check Point alerta que los cibercriminales han difundido Emotet, que en febrero se mantiene como el malware más buscado, afectando a un 15,51% de las empresas españolas, mediante dos nuevos vectores de ataque:
- una campaña de phishing SMS (smishing) dirigido a los usuarios en Estados Unidos. Este mensaje suplanta la identidad de las comunicaciones que los bancos envían, e invita a las víctimas a hacer clic en un enlace malicioso que descarga Emotet en su dispositivo.
- los cibercriminales han utilizado las redes Wi-Fi cercanas como segundo vector para propagar este malware a través de ataques de fuerza bruta (probar todas las combinaciones posibles de contraseñas de uso común hasta acertar con la correcta y poder acceder).
Emotet, que normalmente se emplea como medio para distribuir ransomware y otras campañas maliciosas, impactó a un 7% de las empresas del mundo en febrero (el segundo malware más buscado este mes y el botnet más extendido actualmente), en comparación con el 13% que alcanzó en enero, cuando estaba propagándose principalmente como una campaña falsa sobre el coronavirus. Este hecho pone de manifiesto la rapidez con la que los cibercriminales cambian la temática de sus ataques para maximizar la tasa de infección
«Los cibercriminales están intentando atacar al mayor número de dispositivos posibles con la intención de sacar el máximo rédito económico a esos ataques, desde el pago de rescates hasta el lanzamiento de ataques DDoS», indica Maya Horowitz, directora del Grupo de Inteligencia e Investigación de Amenazas y Productos en Check Point. «Dado que su principal vector de ataque son los correos electrónicos y los SMS, las empresas deben asegurarse de que sus empleados están informados sobre cómo identificar los diferentes tipos de spam malicioso y desplegar así una estrategia de seguridad que impida que estas amenazas infecten sus redes», añade.
Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.