Un grupo de espionaje conocido como "Redfly" hackeo una organización de red eléctrica en Asia y se mantuvo sin ser detectado por seis meses. Symantec identifico la actividad, que transcurrió desde el 28 de febrero hasta el 3 de agosto de 2023.
Los atacantes utilizaron una variante del troyano ShadowPad, malware utilizado por varios grupos de APT, la que camufla sus componentes como archivos VMware y los coloca en el sistema de archivos de la víctima. Además, asegura su persistencia creando servicios con el nombre de VMware que ejecutan el malware y la DLL al indicar el sistema.
ShadowPad es un troyano de acceso remoto versátil que permite la exfiltración de datos, registro de pulsaciones de teclas, búsqueda y manipulación de archivos, y ejecución remota de comandos. El hecho de que varios grupos de amenazas lo utilicen complica su atribución y seguimiento para los analistas.
En los ataques observados, Redfly también emplea una herramienta de registro de teclas para capturar pulsaciones de teclado en archivos de registro del sistema comprometido, que los atacantes recuperan manualmente. También utilizan Packerloader para ejecutar código de shell en archivos cifrados AES, evitando la detección AV. Este código modifica permisos de un archivo de controlador, crea volcados de credenciales en el registro de Windows para su recuperación futura y borra registros de eventos de seguridad de Windows.
El prolongado período de permanencia en el ataque es típico de actores de espionaje que buscan recopilar información de manera discreta. Aunque no está claro si los atacantes tenían la intención de interrumpir el suministro de energía, esta amenaza potencial representa un riesgo significativo.
Los ataques a infraestructuras críticas, como el sector energético, no son nuevos, y ejemplos previos incluyen ataques patrocinados por Rusia en EE. UU. y Europa, así como ataques en Ucrania dirigidos a interrumpir el suministro de electricidad, lo que podría causar daños a los clientes y graves consecuencias económicas para la nación.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y sean conscientes de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
https://www.proofpoint.com/es/threat-reference/remote-access-trojan