Aumentan las campañas de ataques APT con técnicas mejoradas y nuevos actores como Trila

Europa Press

Publicado el - Actualizado

3 min lectura

MADRID, 19 (Portaltic/EP)

Investigadores de ciberseguridad han notificado un aumento de las campañas de amenazas persistentes avanzadas (APT) durante el primer trimestre de este año, con el uso de nuevas técnicas y herramientas actualizadas, la aparición de nuevos actores maliciosos como Trila y la expansión de los ataques a nivel geográfico y por sectores de actividad.

Las amenazas persistentes avanzadas son un tipo de ciberamenaza que utiliza técnicas de hackeo que actúan de forma encubierta para acceder a un sistema y atacarlo de forma continua durante un tiempo prolongado, lo que puede ocasionar consecuencias potencialmente destructivas.

En este marco, tal y como muestran los resultados del último informe de Kaspersky sobre las APT, que recoge los datos recopilados durante los tres primeros meses de 2023, se ha identificado un aumento en las campañas de ataques de amenazas ya conocidas como MuddyWater, y de nuevos actores maliciosos recién descubiertos como Trila y LoneZerda.

Concretamente, los investigadores constataron amenazas que ya habían sido reconocidas en ataques anteriormente como Turla, MuddyWater, Winnti o Lazarus, que continúan desarrollando herramientas de amenazas. Un ejemplo es el caso de Turla, que utiliza el 'malware' TunnusSched para los nuevos ataques, cuando habitualmente utiliza Tomiris.

Por su parte, los investigadores han identificado un nuevo actor malicioso, al que se refieren como Trila, en una campaña que se remonta a diciembre de 2022. Trila está escrito en el lenguaje .NET, se dedica a la ejecución de comandos de consola remota, y dirige sus ataques contra entidades gubernamentales libanesas.

Según los expertos en ciberseguridad, Trila utiliza un conjunto de herramientas que se basan principalmente en 'malware' "simple y casero" que les permite ejecutar de forma remota los comandos del sistema de Windows en las máquinas infectadas y extraer información.

Otro actor de amenazas APT descubierto ha sido LoneZerda, cuyo origen parece ser libanés y remontarse al año 2017, según los expertos. Este actor malicioso estaba enfocado a entidades diplomáticas en países dentro de Oriente Próximo y recopilaba un registro del uso de teclas en los ordenadores de las víctimas infectadas.

Tal y como ha asegurado David Emm, del Equipo de Análisis e Ingvestigación Global (GReAt) de Kaspersky, "los grupos APT llevan décadas activos y evolucionan sus técnicas y herramientas". En este sentido, ha señalado que la identificación del desarrollo de nuevas amenazas "deja claro que el panorama APT cambia muy rápido".

Por ello, Emm ha sugerido que las organizaciones "deben estar siempre alerta" y asegurarse de que disponen de la mejor inteligencia de amenazas y las herramientas adecuadas para defenderse.

EUROPA, ESTADOS UNIDOS Y ORIENTE MEDIO

Además, estas campañas se han expandido tanto a nivel geográfico como por sectores de actividad. Según Kaspersky, durante los primeros meses de 2023 las campañas de ATP se han concentrado en Europa, Estados Unidos, Oriente Próximo y algunas regiones de Asia, por lo que han continuado actuando de forma "muy dispersa".

De igual forma, estos ataques APT han buscado nuevos objetivos. Normalmente, los ciberdelincuentes apuestan por instituciones estatales y otras organizaciones de alto nivel. Sin embargo, durante este periodo se han encontrado ataques en sectores como la aviación, la energía, el inmobiliario, de telecomunicaciones, de la banca, de investigación científica e, incluso, el de los videojuegos.

El interés en estos sectores se debe a que son empresas con grandes cantidades de datos, además, muchos de ellos son "de corte estratégico", tal y como subraya Kaspersky, lo que los convierte en datos útiles para futuras campañas.

CÓMO EVITAR ATAQUES DE APT

De cara a evitar ser víctima de estas amenazas, el equipo de Kaspersky recomienda llevar a cabo acciones comunes como actualizar el 'software' de forma regular. Sin embargo, también señala la importancia de conocer las últimas amenazas de este estilo para facilitar su detección.

Igualmente, la compañía de ciberseguridad recomienda utilizar una solución de seguridad de 'endpoint' que pueda identificar las amenazas en una fase temprana. Por otra parte, de cara a los usuarios, advierte que han de ser conscientes de que muchas campañas utilizan técnicas de ingeniería social para lanzar ataques con técnicas como el 'phishing', por ejemplo.