Estas operaciones fueron dirigidas u originadas en el Medio Oriente y Corea del Sur
De acuerdo con Kaspersky, gran parte de la actividad se centró en el ciberespionaje o fraudes económicos, pero al menos una campaña parece destinada a difundir desinformación
Ciberseguridad
La actividad de Amenazas Persistentes Avanzadas (APT) durante el segundo trimestre de 2019 incluyó una serie de operaciones dirigidas u originadas en el Medio Oriente y Corea del Sur. Gran parte de la actividad se centró en el ciberespionaje o fraudes económicos, pero al menos una campaña parece destinada a difundir desinformación.
En mayo, los investigadores de Kaspersky analizaron la filtración online de activos aparentemente de ciberespionaje pertenecientes a una entidad iraní, y concluyeron que el actor detrás del mismo podría ser Hades, un grupo también vinculado a ExPetr y al ciberataque de los Juegos Olímpicos de Invierno de 2018. Estas y otras tendencias de APT en todo el mundo se recogen en el último resumen trimestral de información sobre amenazas de Kaspersky.
El resumen trimestral de tendencias de APT forma parte de la investigación privada de Kaspersky sobre inteligencia de amenazas, así como de otras fuentes, y destaca los principales desarrollos que los investigadores creen que todo el mundo debería conocer.
Otras actividades adicionales de APT en el segundo trimestre fueron:
Los grupos de habla rusa siguen perfeccionando y lanzando nuevas herramientas y operaciones. Por ejemplo, desde marzo, Zebrocy parece haber centrado su atención en los eventos, funcionarios, diplomáticos y militares relacionados con Pakistán/India, así como en el mantenimiento del acceso continuo a las redes locales y remotas del gobierno de Asia Central.
Los ataques de Turla continuaron presentando un conjunto de herramientas en rápida evolución y, un caso notable, el aparente secuestro de la infraestructura perteneciente a OilRig.
La actividad relacionada con Corea fue elevada; mientras que en el resto del sudeste asiático se registró más tranquilidad que en trimestres anteriores. Entre las operaciones para mencionar figuran un ataque del grupo Lazarus contra una empresa de juegos de azar para teléfonos móviles en Corea del Sur y una campaña de BlueNoroff, el subgrupo Lazarus, contra un banco ubicado en Bangladesh y software de criptografía de divisas.
Los investigadores también observaron una activa campaña dirigida a los organismos gubernamentales de Asia Central dirigida por el grupo chino de APT SixLittleMonkeys, utilizando una nueva versión del troyano Microcin y una RAT que Kaspersky llama HawkEye.
Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, Kaspersky recomienda implementar las siguientes medidas:
Proporcione a su equipo SOC acceso a la información más reciente sobre amenazas para mantenerse al día sobre las herramientas, técnicas y tácticas nuevas y emergentes utilizadas por los actores de amenazas y los ciberdelincuentes.
Para la detección, investigación y remediación de incidentes a nivel de endpoints, implemente soluciones EDR tales como Kaspersky Endpoint Detection and Response.
Además de adoptar la protección esencial de los endpoints, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas a nivel de red en una fase temprana, tal como la plataforma Kaspersky Anti Targeted Attack Platform.
Como muchos de los ataques dirigidos se inician con phishing u otras técnicas de ingeniería social, introduzca la formación en materia de seguridad y enseñe habilidades prácticas, por ejemplo, a través de la Kaspersky Automated Security Awareness Platform.