Así atacan los ciberdelincuentes utilizando la infraestructura en la nube

La empresa Kaspersky concluyó recientemente una investigación sobre ciberataques realizados por ciberdelincuentes dirigidos al sector industrial. Según sus resultados, las industrias de fabricación, ingeniería e integración de sistemas de control industrial (ICS) se han visto particularmente afectadas.

Durante la investigación, Kaspersky descubrió en Europa del Este una serie de ataques dirigidos por ciberdelincuentes con la intención de establecer un canal permanente para la exfiltración de datos.

Estas campañas, señalan, mostraron semejanzas significativas con ataques que habían sido investigados anteriormente. Esto como ExCone y DexCone. Esto, señala, la empresa, sugiere la participación de APT31, también conocido como Judgment Panda y Zirconium.

Leer más: Metaverso: ¿Cómo cambiará la seguridad en la red?

Adicionalmente, la investigación reveló el uso de implantes avanzados diseñados para el acceso a distancia. La empresa dijo que esto muestra el amplio conocimiento y la experiencia de los agentes de amenazas para evadir las medidas de seguridad. Añadió que, estos implantes, permitieron establecer canales persistentes para la exfiltración de datos, incluso de sistemas altamente seguros.

“En particular, los agentes de la amenaza utilizaron técnicas de secuestro de DLL; es decir, abusaron de ejecutables legítimos de terceros. Los cuales son vulnerables a la carga de bibliotecas enlazadas dinámicas maliciosas en su memoria. Esto para tratar de evitar la detección mientras ejecutan múltiples implantes utilizados durante tres etapas del ataque”, menciona el informe.

Añade que los servicios de almacenamiento de datos basados en la nube, como Dropbox y Yandex Disk, así como las plataformas temporales de intercambio de archivos, se han utilizado para filtrar datos y distribuir el malware que se utiliza posteriormente. También implementaron una infraestructura de mando y control (C2) en Yandex Cloud. Así como en servidores privados virtuales (VPS) regulares para mantener el control sobre las redes comprometidas.

También, se concluyó que en estos ataques se implementaron nuevas variantes del malware FourteenHi.

Más información y noticias de TENDENCIAS aquí.