En el informe más reciente de Kaspersky sobre las tendencias de las amenazas persistentes avanzadas (APTs) durante el segundo trimestre de 2023, los investigadores analizan el desarrollo de las campañas nuevas y existentes de estas amenazas incluida la actualización de conjuntos de herramientas, la creación de nuevas variantes de malware y la adopción de técnicas frescas por parte de los agentes de amenazas.
Una de las revelaciones más significativas fue la campaña de larga duración “Operación Triangulación”, que involucró el uso de una plataforma de malware -desconocida hasta entonces- dirigida a dispositivos iOS. Los expertos también observaron otros acontecimientos interesantes que deben ser del conocimiento de todos. Estos son los aspectos más destacados del informe:
Asia-Pacífico es testigo de un nuevo agente de amenazas: Mysterious Elephant
Kaspersky descubrió un nuevo agente de amenazas perteneciente a la familia Elephants, que opera en la región de Asia-Pacífico, apodado Mysterious Elephant. En la campaña más reciente, el agente de amenazas empleó nuevas familias de puertas traseras, capaces de ejecutar archivos y órdenes en la computadora de la víctima y recibir archivos u órdenes de un servidor malicioso para ejecutarlos en el sistema infectado. Si bien los investigadores de Kaspersky han observado similitudes con Confucius y SideWinder, Mysterious Elephant posee un conjunto distintivo y único de tácticas, técnicas y procedimientos (TTPs), lo que los diferencia de estos otros grupos.
Herramientas actualizadas: Lazarus desarrolla una nueva variante de malware, BlueNoroff ataca a macOS y más
Los agentes de amenazas mejoran constantemente sus técnicas, un ejemplo es Lazarus que ha actualizado su marco MATA e introducido una nueva variante, MATAv5, de la sofisticada familia de malware MATA. BlueNoroff, un subgrupo de Lazarus centrado en ataques financieros, ahora emplea nuevos métodos de entrega y lenguajes de programación, incluido el uso de lectores de PDF con troyanos en campañas recientes, la implementación de malware macOS y el lenguaje de programación Rust. Además, el grupo ScarCruft APT ha desarrollado nuevos métodos de infección, evadiendo así el mecanismo de seguridad Mark-of-the-Web (MOTW). Las tácticas en constante evolución de estos agentes de amenazas presentan nuevos desafíos para los profesionales de la ciberseguridad.
Las influencias geopolíticas siguen siendo los principales motores de la actividad de las APTs
Las campañas de las APTs permanecen dispersas geográficamente, pues sus agentes concentran sus ataques en regiones como Europa, América Latina, Medio Oriente y varias partes de Asia. El ciberespionaje, con un sólido trasfondo geopolítico, continúa siendo una agenda dominante para estos esfuerzos.
Para evitar ser víctima de un ataque dirigido por un agente de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
- Actualizar constantemente su sistema operativo y el software de terceros a sus versiones más recientes para garantizar la seguridad de su sistema. Mantener un programa de actualización regular es esencial para mantenerse protegido contra posibles vulnerabilidades y riesgos de seguridad.
- Mejorar constantemente las habilidades de su equipo de seguridad cibernética para abordar las amenazas dirigidas más recientes con la capacitación en línea de Kaspersky, desarrollada por expertos de GReAT.
- Utilizar la información más reciente de Threat Intelligence para mantenerse actualizado con los TTPs reales utilizados por los agentes de amenazas.
- Implementar soluciones EDR como Kaspersky Endpoint Detection and Response para la detección, investigación y corrección oportuna de incidentes a nivel de endpoints, .
- Los servicios dedicados pueden ayudar a combatir ataques de alto perfil. El servicio de Detección y respuesta administrada de Kaspersky puede ayudar a identificar y detener las intrusiones en sus primeras etapas, antes de que los perpetradores logren sus objetivos. Si se encuentra con un incidente, el servicio de Respuesta a incidentes de Kaspersky le ayudará a responder y minimizar las consecuencias, en particular: identificar los nodos contaminados y proteger la infraestructura contra ataques similares en el futuro.