Investigadores de la compañía de ciberseguridad Kasperskyhan descubierto una serie de ataques muy selectivos contra empresas industrialesque se vienen produciendo desde el 2018.
Por lo general, el objetivo favorito de las APT (Amenaza Persistente Avanzada) son las instituciones gubernamentales,los funcionarios públicos y los operadores de telecomunicaciones, ya quedisponen de una gran cantidad de información de carácter confidencial y muysensible desde un punto de vista político. Sin embargo, resulta mucho másextraño que las campañas de espionaje se dirijan contra empresas industriales,aunque, al igual que ocurre con cualquier otro tipo de ataque contra unaempresa, pueden provocar nefastas consecuencias. Por ello, cuando losinvestigadores de Kaspersky detectaron nuevas herramientas contra compañías delsector industrial, no perdieron de vista su actividad.
El conjuntode herramientas utilizado, denominado MT3 por los propios autores del malware, hasido bautizado por Kaspersky como "MontysThree".
Según explica la compañía de ciberseguridad, MontysThree despliega un malware compuesto por cuatro módulos. El primero de ellos, el cargador, se propaga al principio utilizando archivos RAR SFX (archivos autoextraíbles) que incluyen nombres relacionados con los contactos de los trabajadores, documentación técnica y resultados médicos, con el objetivo de engañar a los empleados y conseguir que descarguen los archivos maliciosos, un método común de spear phishing. El cargador es el encargado de asegurarse de que el malware no es detectado en el sistema y para ello emplea una técnica conocida como esteganografía.
Los ciberdelincuentesrecurren a la esteganografía para ocultar el intercambio de datos. En elcaso de MontysThree, Kaspersky indica que la descarga maliciosa principal estádisfrazada como un archivo bitmap (un formato destinado al almacenamiento deimágenes digitales). Si se introduce el comando adecuado, el cargador emplearáun algoritmo hecho a medida para descifrar el contenido de la matriz de píxelesy ejecutar la carga útil maliciosa.
"La cargamaliciosa principal aplica varias técnicas propias de cifrado para evitar sudetección, como el uso de un algoritmo RSA para cifrar las comunicaciones conel servidor de control y descifrar las principales 'tareas' asignadas almalware. Entre ellas se incluye la búsqueda de documentos con extensionesespecíficas y en directorios concretos de la empresa", continúaKaspersky.
Asimismo, la compañía señala que MontysThree está diseñadopara dirigirse específicamente a documentos Microsoft y Adobe Acrobat y que tambiénpuede realizar capturas de pantalla y tomar las "huellas dactilares"del objetivo – recopilando información sobre su configuración de red, nombredel host, etc. – para comprobar si es de interés para los atacantes.
"La informaciónrecopilada, así como otras comunicaciones realizadas con el servidor decontrol, se alojan en servicios públicos en la nube como Google, Microsoft yDropbox. Este hecho dificulta la detección del tráfico de las comunicacionescomo malicioso, y como ningún antivirus bloquea estos servicios, garantiza queel servidor de control pueda ejecutar los comandos de forma ininterrumpida",prosigue Kaspersky.
Además, la empresa de ciberseguridad advierte queMontysThree utiliza un sencillo método para ganar en persistencia dentro delsistema infectado. "Se trata de un modificador en la barra de inicio rápido de Windows (WindowsQuick Launch). De esta forma, los usuarios ejecutan involuntariamente el móduloinicial del malware cada vez que ejecutan aplicaciones legítimas, como porejemplo el explorador, al utilizar dicha barra de herramientas de inicio rápidode Windows".
Por el momento, Kaspersky no ha encontrado ninguna similitudentre el código malicioso o la infraestructura de MontysThree con ninguna otraAPT conocida.
"MontysThree esmuy interesante no solo porque se dirige al mundo industrial, sino también porla combinación de sofisticación y amateurismo de sus TTP (técnicas, tácticas yprocedimientos). En general, la complejidad varía de un módulo a otro, sinembargo, no puede compararse con el nivel utilizado por los grupos APT másavanzados. No obstante, utilizan fuertes patrones de cifrado y, de hecho,cuenta con decisiones con un alto grado de conocimiento técnico, incluida laesteganografía personalizada. Es evidente que los atacantes han realizado ungran esfuerzo en el desarrollo del conjunto de herramientas MontysThree, lo quehace pensar que están firmemente decididos a conseguir sus objetivos, y queesta no es una campaña pasajera", afirma Denis Legezo, investigador deseguridad senior de Kaspersky Global Research and Analysis Team.
Consejos para la protección de ataques como MontysThree
Para ayudar a las empresas a protegerse de ataques comoMontysThree, los expertos de Kaspersky han aportado las siguientesrecomendaciones:
- Proporcionar al equipo una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan por el phishing u otras técnicas de ingeniería social. Realizar un ataque de phishing de simulación para asegurarse de que la plantilla sabe cómo distinguir los correos electrónicos de phishing.
- Proporcionar al equipo del Centro de Operaciones de Seguridad (SOC) acceso a la última inteligencia sobre amenazas, como el Portal de Inteligencia de Amenazas de Kaspersky.
- Para la detección, investigación y reparación oportuna de incidentes en endpoints, implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
- Además de adoptar una protección básica del endpoint, se debe implementar una solución de seguridad de nivel corporativo que detecte amenazas avanzadas en la red desde una fase temprana, como por ejemplo Kaspersky Anti Targeted Attack Platform.
- Asegurarse de proteger los endpoints industriales, así como los corporativos.