Video: Webinar: Anatomía de un ciberataque, ¿cómo podemos mitigarlo? (Paula González) (Noviembre 2024)
Kaspersky Lab lanzó el primero de un informe de dos partes sobre "Octubre Rojo", un ataque de malware que la compañía cree que está infestando sistemas gubernamentales de alto nivel en toda Europa y podría estar dirigido específicamente a documentos clasificados. Según el informe, los datos robados están en el orden de "cientos de terabytes" y pasaron desapercibidos durante aproximadamente cinco años.
Octubre Rojo, o "Rocra", toma su nombre del mes en que fue descubierto por primera vez y el submarino ruso silencioso titular imaginado por el autor Tom Clancy. Puedes hablar sobre Red October y sus antecedentes en PC Mag.
Ataques dirigidos específicamente
El informe describe el Octubre Rojo como un "marco", que puede actualizarse rápidamente para aprovechar las debilidades de sus víctimas. Los atacantes comenzaron su asalto con correos electrónicos de spearphising o documentos infectados diseñados para atraer a sus objetivos. Una vez infectados, los intrusos recopilarían información sobre el sistema antes de instalar módulos específicos para aumentar la intrusión. Kaspersky contó alrededor de 1, 000 de esos archivos únicos que caen en aproximadamente 30 categorías de módulos.
Este es un enfoque marcadamente diferente al de Flame u otro malware que capta los titulares. El informe dice que "existe un alto grado de interacción entre los atacantes y la víctima: la operación está impulsada por el tipo de configuración que tiene la víctima, qué tipo de documentos utiliza, software instalado, idioma nativo, etc."
"En comparación con Flame y Gauss, que son campañas de ciberespionaje altamente automatizadas, Rocra es mucho más 'personal' y está mejor ajustado para las víctimas", escribe Kaspersky.
Los atacantes fueron tan tortuosos como metódicos, en realidad cambiaron de táctica para emplear información robada. "La información recolectada de las redes infectadas se reutiliza en ataques posteriores", escribe Kaspersky. "Por ejemplo, las credenciales robadas se compilaron en una lista y se usaron cuando los atacantes necesitaban adivinar contraseñas y credenciales de red en otros lugares".
Mantenerse alejado del radar
Este tipo de ataque dirigido no solo permitió a los que estaban detrás del Octubre Rojo ir tras objetivos de alto nivel, sino que también ayudó a que la operación permaneciera sin ser detectada durante años. "La combinación de atacantes altamente calificados y bien financiados y una distribución limitada generalmente significa que el malware puede permanecer bajo el radar durante un período de tiempo significativo", dijo a SecurityWatch el investigador principal de Kaspersky, Roel Schouwenberg. "Además, no hemos visto el uso de vulnerabilidades de día cero, lo que nuevamente demuestra lo importante que es la aplicación de parches".
Schouwenberg continuó diciendo que múltiples capas de seguridad pueden ayudar a bloquear contra este tipo de ataques. Le dijo a SecurityWatch , "esta es la razón por la cual la defensa en profundidad es importante y los enfoques como la denegación predeterminada, la lista blanca y el control de la aplicación entran en juego. Los ataques se pueden detener incluso sin una detección exacta".
No necesariamente el trabajo de las naciones
A pesar de los objetivos de alto nivel, Kaspersky enfatiza que no hay un vínculo definitivo con un ataque patrocinado por el estado. El informe dice que si bien la información destinada podría ser valiosa para las naciones, "dicha información podría intercambiarse en el subsuelo y venderse al mejor postor, lo que puede ser, por supuesto, en cualquier lugar".
Las amenazas a medida, como el Octubre Rojo, son el peor de los escenarios que mantienen a la gente de seguridad en el Pentágono despierta toda la noche. Afortunadamente, la especificidad que hizo exitoso el Octubre Rojo también significa que es poco probable que amenace a los consumidores habituales como usted y yo.
Desafortunadamente, eso no cambia el hecho de que un jugador nuevo y poderoso ha estado operando detrás de escena durante años.
Para más de Max, sígalo en Twitter @wmaxeddy.
