Un grupo de espionaje conocido como "Redfly" hackeo una organización de red eléctrica en Asia y se mantuvo sin ser detectado por seis meses. Symantec identifico la actividad, que transcurrió desde el 28 de febrero hasta el 3 de agosto de 2023.
El ataque
Los atacantes utilizaron una variante del troyano ShadowPad, malware utilizado por varios grupos de APT, la que camufla sus componentes como archivos VMware y los coloca en el sistema de archivos de la víctima. Además, asegura su persistencia creando servicios con el nombre de VMware que ejecutan el malware y la DLL al indicar el sistema.
ShadowPad
ShadowPad es un troyano de acceso remoto versátil que permite la exfiltración de datos, registro de pulsaciones de teclas, búsqueda y manipulación de archivos, y ejecución remota de comandos. El hecho de que varios grupos de amenazas lo utilicen complica su atribución y seguimiento para los analistas.
Detalles de la herramienta
En los ataques observados, Redfly también emplea una herramienta de registro de teclas para capturar pulsaciones de teclado en archivos de registro del sistema comprometido, que los atacantes recuperan manualmente. También utilizan Packerloader para ejecutar código de shell en archivos cifrados AES, evitando la detección AV. Este código modifica permisos de un archivo de controlador, crea volcados de credenciales en el registro de Windows para su recuperación futura y borra registros de eventos de seguridad de Windows.
Tiempo de permanencia
El prolongado período de permanencia en el ataque es típico de actores de espionaje que buscan recopilar información de manera discreta. Aunque no está claro si los atacantes tenían la intención de interrumpir el suministro de energía, esta amenaza potencial representa un riesgo significativo.
Los ataques a infraestructuras críticas, como el sector energético, no son nuevos, y ejemplos previos incluyen ataques patrocinados por Rusia en EE. UU. y Europa, así como ataques en Ucrania dirigidos a interrumpir el suministro de electricidad, lo que podría causar daños a los clientes y graves consecuencias económicas para la nación.
Prevención y mitigación
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y sean conscientes de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Fuentes
https://www.proofpoint.com/es/threat-reference/remote-access-trojan