Ha sido detectado por Kaspersky, que explica sus características

MontysThree, el conjunto de herramientas para atacar empresas industriales

59
bitdefender ciberseguridad

Investigadores de la compañía de ciberseguridad Kaspersky han descubierto una serie de ataques muy selectivos contra empresas industriales que se vienen produciendo desde el 2018.

Por lo general, el objetivo favorito de las APT (Amenaza Persistente Avanzada) son las instituciones gubernamentales, los funcionarios públicos y los operadores de telecomunicaciones, ya que disponen de una gran cantidad de información de carácter confidencial y muy sensible desde un punto de vista político. Sin embargo, resulta mucho más extraño que las campañas de espionaje se dirijan contra empresas industriales, aunque, al igual que ocurre con cualquier otro tipo de ataque contra una empresa, pueden provocar nefastas consecuencias. Por ello, cuando los investigadores de Kaspersky detectaron nuevas herramientas contra compañías del sector industrial, no perdieron de vista su actividad.

El conjunto de herramientas utilizado, denominado MT3 por los propios autores del malware, ha sido bautizado por Kaspersky como “MontysThree”.

Según explica la compañía de ciberseguridad, MontysThree despliega un malware compuesto por cuatro módulos. El primero de ellos, el cargador, se propaga al principio utilizando archivos RAR SFX (archivos autoextraíbles) que incluyen nombres relacionados con los contactos de los trabajadores, documentación técnica y resultados médicos, con el objetivo de engañar a los empleados y conseguir que descarguen los archivos maliciosos, un método común de spear phishing. El cargador es el encargado de asegurarse de que el malware no es detectado en el sistema y para ello emplea una técnica conocida como esteganografía.

Los ciberdelincuentes recurren a la esteganografía para ocultar el intercambio de datos. En el caso de MontysThree, Kaspersky indica que la descarga maliciosa principal está disfrazada como un archivo bitmap (un formato destinado al almacenamiento de imágenes digitales). Si se introduce el comando adecuado, el cargador empleará un algoritmo hecho a medida para descifrar el contenido de la matriz de píxeles y ejecutar la carga útil maliciosa.

“La carga maliciosa principal aplica varias técnicas propias de cifrado para evitar su detección, como el uso de un algoritmo RSA para cifrar las comunicaciones con el servidor de control y descifrar las principales ‘tareas’ asignadas al malware. Entre ellas se incluye la búsqueda de documentos con extensiones específicas y en directorios concretos de la empresa”, continúa Kaspersky.

Asimismo, la compañía señala que MontysThree está diseñado para dirigirse específicamente a documentos Microsoft y Adobe Acrobat y que también puede realizar capturas de pantalla y tomar las “huellas dactilares” del objetivo – recopilando información sobre su configuración de red, nombre del host, etc. – para comprobar si es de interés para los atacantes.

“La información recopilada, así como otras comunicaciones realizadas con el servidor de control, se alojan en servicios públicos en la nube como Google, Microsoft y Dropbox. Este hecho dificulta la detección del tráfico de las comunicaciones como malicioso, y como ningún antivirus bloquea estos servicios, garantiza que el servidor de control pueda ejecutar los comandos de forma ininterrumpida”, prosigue Kaspersky.

Además, la empresa de ciberseguridad advierte que MontysThree utiliza un sencillo método para ganar en persistencia dentro del sistema infectado.Se trata de un modificador en la barra de inicio rápido de Windows (Windows Quick Launch). De esta forma, los usuarios ejecutan involuntariamente el módulo inicial del malware cada vez que ejecutan aplicaciones legítimas, como por ejemplo el explorador, al utilizar dicha barra de herramientas de inicio rápido de Windows”.

Por el momento, Kaspersky no ha encontrado ninguna similitud entre el código malicioso o la infraestructura de MontysThree con ninguna otra APT conocida.

“MontysThree es muy interesante no solo porque se dirige al mundo industrial, sino también por la combinación de sofisticación y amateurismo de sus TTP (técnicas, tácticas y procedimientos). En general, la complejidad varía de un módulo a otro, sin embargo, no puede compararse con el nivel utilizado por los grupos APT más avanzados. No obstante, utilizan fuertes patrones de cifrado y, de hecho, cuenta con decisiones con un alto grado de conocimiento técnico, incluida la esteganografía personalizada. Es evidente que los atacantes han realizado un gran esfuerzo en el desarrollo del conjunto de herramientas MontysThree, lo que hace pensar que están firmemente decididos a conseguir sus objetivos, y que esta no es una campaña pasajera”, afirma Denis Legezo, investigador de seguridad senior de Kaspersky Global Research and Analysis Team.

Consejos para la protección de ataques como MontysThree

Para ayudar a las empresas a protegerse de ataques como MontysThree, los expertos de Kaspersky han aportado las siguientes recomendaciones:

  • Proporcionar al equipo una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan por el phishing u otras técnicas de ingeniería social. Realizar un ataque de phishing de simulación para asegurarse de que la plantilla sabe cómo distinguir los correos electrónicos de phishing.
  • Proporcionar al equipo del Centro de Operaciones de Seguridad (SOC) acceso a la última inteligencia sobre amenazas, como el Portal de Inteligencia de Amenazas de Kaspersky.
  • Para la detección, investigación y reparación oportuna de incidentes en endpoints, implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
  • Además de adoptar una protección básica del endpoint, se debe implementar una solución de seguridad de nivel corporativo que detecte amenazas avanzadas en la red desde una fase temprana, como por ejemplo Kaspersky Anti Targeted Attack Platform.
  • Asegurarse de proteger los endpoints industriales, así como los corporativos.
Artículo
MontysThree, el conjunto de herramientas para atacar empresas industriales
Nombre
MontysThree, el conjunto de herramientas para atacar empresas industriales
Descripcion
MontysThree ha sido detectado por investigadores de Kaspersky y la compañía de ciberseguridad ha explicado sus principales características
Autor
Publico
Escudo Digital
Logo