MB Tech

Whispergate Malware

07 September, 2024

Compartir

Ciberataques Globales: La Amenaza de la Unidad 29155 del GRU

En un reciente informe, el FBI, la CISA y la NSA atribuyen a la Unidad 29155 del GRU ruso una serie de ciberataques globales que incluyen espionaje, sabotaje y daño reputacional desde al menos 2020. Este grupo ha sido responsable de operaciones destructivas, como el uso del malware WhisperGate contra organizaciones en Ucrania a partir de 2022. Los ataques de la Unidad 29155 han tenido como objetivo infraestructuras críticas en países de la OTAN, la Unión Europea y América Latina, afectando sectores como transporte, energía y servicios financieros.

Uno de sus ataques más notorios fue el uso del malware destructivo WhisperGate contra organizaciones ucranianas en enero de 2022, lo que subraya su capacidad de causar un daño significativo a nivel internacional. Sin embargo, estos ataques no solo se han limitado a Ucrania. La Unidad 29155 ha realizado campañas cibernéticas que incluyen el robo y la filtración de datos confidenciales, la desfiguración de sitios web y el escaneo masivo de infraestructuras.

Métodos de Ataque

Para llevar a cabo estas operaciones, los actores de la Unidad 29155 utilizan una combinación de herramientas públicas de ciberseguridad y vulnerabilidades conocidas. Entre las herramientas más usadas se encuentran Nmap y Shodan, que les permiten identificar y explotar puntos débiles en redes y sistemas. Además, emplean técnicas avanzadas para moverse lateralmente dentro de las redes comprometidas, exfiltrando datos críticos y manteniéndose en las redes durante largos periodos sin ser detectados.

Uno de los aspectos más alarmantes es que esta unidad también colabora con cibercriminales externos, aprovechando su experiencia y recursos para mejorar sus capacidades y atacar con mayor precisión. Entre los grupos más destacados que han sido vinculados a la Unidad 29155 están Cadet Blizzard y Ember Bear, conocidos por sus operaciones ofensivas cibernéticas.

Cómo Protegerse

Dado el nivel de sofisticación de estos ataques, las organizaciones deben adoptar medidas proactivas para protegerse. Las agencias de seguridad como el FBI y la NSA recomiendan:

  • Actualizar sistemas y remediar vulnerabilidades conocidas.
  • Segmentar redes para evitar la propagación de actividad maliciosa.
  • Habilitar la autenticación multifactorial (MFA) resistente a phishing, especialmente para servicios críticos como correo web y VPN.

Tácticas y técnicas de MITRE ATT&CK: Un análisis de las amenazas de la Unidad 29155

En el contexto de la ciberseguridad, el marco MITRE ATT&CK es fundamental para identificar tácticas y técnicas utilizadas por actores de amenazas avanzadas, como la Unidad 29155. A continuación exploraremos algunas de las tácticas y técnicas clave que utiliza este grupo, según el modelo ATT&CK, junto con medidas de mitigación recomendadas para protegerse.

Fase de Reconocimiento

Durante la etapa de reconocimiento, los ciberatacantes se enfocan en recopilar información sobre sus objetivos. La Unidad 29155 emplea diversas herramientas para este fin:

  • Recopilación de información de DNS: Herramientas como Amass y VirusTotal permiten identificar subdominios de las víctimas.
  • Escaneo activo: Utilizan herramientas públicas para identificar rangos de IP, vulnerabilidades y dispositivos IoT mediante escaneo de vulnerabilidades con herramientas como Acunetix o Amass.

Desarrollo de Recursos

Para operar de manera eficaz, este grupo adquiere infraestructura y capacidades a medida que avanza el ataque:

  • Adquirir infraestructura (VPS): Los servidores privados virtuales (VPS) son clave para alojar herramientas operativas y exfiltrar datos.
  • Obtener malware: Utilizan malware y cargadores como Raspberry Robin, a menudo adquiridos de fuentes públicas.
  • Obtener exploits: La explotación de vulnerabilidades conocidas, como CVE, se obtiene a través de repositorios en GitHub.

Acceso Inicial y Ejecución

La primera fase de un ataque suele involucrar el acceso inicial a la red de la víctima, aprovechando debilidades como:

  • Explotación de aplicaciones públicas: Se aprovechan vulnerabilidades como CVE-2022-26134 para acceder a sistemas vulnerables.
  • Uso de PowerShell: Una vez dentro, PowerShell es utilizado para ejecutar comandos y tareas operativas.

Movimiento Lateral y Persistencia

Una vez dentro de la red, la Unidad 29155 busca moverse lateralmente y establecer persistencia:

  • Pass-the-Hash: Esta técnica permite a los atacantes autenticarse en otros sistemas sin necesidad de contraseñas.
  • Web Shell: Los shells web son utilizados para mantener acceso persistente a los sistemas.

Acceso a Credenciales y Descubrimiento

Para obtener acceso completo a los sistemas comprometidos, los actores de la Unidad 29155 buscan y exfiltran credenciales:

  • Volcado de credenciales (LSASS): Obtienen credenciales almacenadas en la memoria LSASS.
  • Enumeración de registros: Identifican y exfiltran registros críticos de sistemas de seguridad.

Mando y Control

El control sobre los sistemas comprometidos se establece a través de técnicas como:

  • Proxy multisalto: Utilizan ProxyChains para enrutar el tráfico a través de múltiples servidores proxy, aumentando el anonimato.
  • Protocolos web (HTTP): Las solicitudes HTTP POST son comunes para enviar cargas útiles a las víctimas.

Mitigaciones Recomendadas

Para protegerse contra estas tácticas avanzadas, se sugieren las siguientes medidas:

  1. Aplicar parches prioritarios: Mantener al día las vulnerabilidades explotadas conocidas (CVE) y priorizar las críticas.
  2. Segmentación de la red: Limitar el movimiento lateral a través de la segmentación de subredes y la implementación de controles de acceso.
  3. Uso de autenticación multifactor (MFA): Implementar MFA resistente al phishing para todos los activos críticos.
  4. Deshabilitar PowerShell innecesario: Actualizar a la última versión y limitar su uso para evitar la ejecución maliciosa de scripts.

Conclusión

La Unidad 29155 es un claro ejemplo de cómo las tácticas y técnicas avanzadas pueden comprometer la seguridad de organizaciones e infraestructuras críticas. Con un enfoque en el modelo MITRE ATT&CK, las organizaciones pueden mejorar su postura de seguridad y mitigar los riesgos asociados con este tipo de amenazas persistentes avanzadas. Implementar las mejores prácticas y estar al tanto de las vulnerabilidades emergentes es crucial para mantenerse un paso adelante de los actores maliciosos. La ciberguerra es una realidad, y grupos como la Unidad 29155 del GRU están a la vanguardia. Es esencial que las organizaciones, tanto públicas como privadas, tomen medidas inmediatas para reforzar su ciberseguridad y mitigar posibles amenazas.

La ciberseguridad es una preocupación constante en el mundo digital actual. Las amenazas como las descritas por el MITRE ATT&CK pueden tener consecuencias devastadoras si no se abordan adecuadamente. En MBTech estamos para ayudar a fortalecer la infraestructura de seguridad y proteger su negocio contra amenazas avanzadas. Contáctenos para mayor información al correo atencion@mbtechperu.com

También te puede interesar

ISO 27001: Qué es y sus beneficios

22 December, 2021

ISO 27001 es un sistema de gestión de seguridad de la información (SGSI). También puedes conocerlo por su nombre más específico ISO/IEC 27001:2005. Esta norma fue desarrollada para proporcionar un modelo que permita definir, operar, revisar, monitorear, implementar, mantener e inspeccionar los sistemas de gestión de seguridad de la información. La ISO 27001 de seguridad de la información está compuesta por un proceso de 5 partes:Define una política de seguridad. Aclara el alcance del SGSI en cuestión. Evalúa riesgos y estudia los riesgos. Fija tus objetivos y los controles de calidad requeridos. Pr

Leer publicación

Garantiza la seguridad endpoint de tu empresa

30 December, 2021

Un endpoint es cualquier dispositivo que sea físicamente la parte final de una red. Las computadoras de escritorio, las tablets, los smartphones, los dispositivos de oficina de red, como los routers, las impresoras y las cámaras de seguridad también son considerados endpoints. Los servidores también pueden ser considerados endpoints porque también están conectados a la red. Básicamente cualquier dispositivo final conectado a la red es un endpoint. ¿Cómo puedo garantizar la protección de los endpoints?La seguridad del endpoint depende de una combinación de factores, algunos de los servicios que pu

Leer publicación

Ransomware Zeppelin

13 August, 2022

Ransomware ZeppelinLa Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) ha lanzado una alerta sobre el ransomware Zeppelin para difundir los indicadores de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP) a los defensores de la red para ayudar a las organizaciones a protegerse contra el ransomware. Alentamos a las organizaciones a implementar las recomendaciones de mitigación para reducir la probabilidad y el impacto de los incidentes de ransomware.  El ransomware Zeppelin es un derivado de la familia de malware Vega basada en Delphi y fun

Leer publicación