Noticias - Actualidad
30 abril 2021

ESET alerta sobre el incremento de ataques a redes gubernamentales y privadas por parte de grupos APT

El informe de ESET examina la naturaleza compleja de los grupos APT con un análisis exclusivo de la campaña maliciosa EmissarySoldier, liderada por el grupo LuckyMouse, que utiliza el conjunto de herramientas propias SysUpdate para comprometer los sistemas, especialmente algunos que usaban Microsoft SharePoint.

La estrategia de ciberseguridad de la Unión Europea, de la misma manera que la de cualquier Estado, se ha visto amenazada en los últimos meses debido a la transición obligada hacia el teletrabajo, pero también debido a los ataques a la cadena de suministro, al ransomware o al ciberespionaje. Sin embargo, los mayores temores siguen llegando desde los grupos de amenazas avanzadas persistentes (APT). Por este motivo, ESET, la mayor empresa de ciberseguridad de la Unión Europea, presentó ayer un informe sobre la situación de las amenazas desarrolladas por los grupos APT en la conferencia virtual que tuvo lugar para conmemorar el Día Europeo de la Ciberseguridad.

El informe de ESET examina la naturaleza compleja de los grupos APT con un análisis exclusivo de la campaña maliciosa EmissarySoldier, liderada por el grupo LuckyMouse, que utiliza el conjunto de herramientas propias SysUpdate para comprometer los sistemas, especialmente algunos que usaban Microsoft SharePoint.

El análisis de ESET se centra en el conjunto de herramientas SysUpdate, relativamente desconocidas y cuyas primeras muestras se descubrieron en 2018. La forma de operar de LuckyMouse consiste en instalar sus archivos a través de un modelo conocido como tridente, ya que usa tres componentes: una aplicación legítima vulnerable al secuestro de DLL, una DLL personalizada que carga el payload y un payload binario codificado con Shikata Ga Nai.

La arquitectura modular de SysUpdate permite a los operadores limitar la exposición de los artefactos maliciosos, por lo que los investigadores de ESET no recuperaron ninguno de estos módulos. Además, se espera que esto se convierta en uno de los desafíos para análisis futuros. Sin embargo, LuckyMouse incrementó su actividad en 2020, aparentemente a partir de un proceso de reconfiguración de sus herramientas e incorporando nuevas funcionalidades.

La evolución de las herramientas desarrolladas por grupos APT como LuckyMouse es clave para los gobiernos, que deben velar por la estabilidad de los ciudadanos, del entorno empresarial y de su compromiso con otros Estados. Y precisamente estas tareas están siendo amenazadas por grupos como LuckyMouse a partir de plataformas de colaboración como Microsoft SharePoint y otros servicios digitales prestados por defecto.

Desde 2020, ESET ha estado colaborando con multitud de organismos como el CERN, Europol o la Agencia de Ciberseguridad Nacional francesa. La visión de estas organizaciones se comparte en encuentros públicos y en informes para demostrar que las infraestructuras IT y las gubernamentales son uno de los objetivos de los ciberdelincuentes.

El informe de ESET presentado ayer muestra la necesidad de que los expertos continúen dando soporte a los gobiernos para cerrar brechas de seguridad y para monitorizar las tácticas, técnicas y procedimientos de los grupos APT con tecnologías de detección y respuesta en el endpoint.

El informe de ESET se puede descargar desde WeLiveSecurity.com

¿Te ha parecido útil este contenido?