Kaspersky ha revelado las principales tendencias en el panorama de las amenazas persistentes avanzadas (APTs) durante el segundo trimestre de 2024. El informe destaca un aumento en las campañas de ciberespionaje sofisticadas, la explotación de amenazas de código abierto, y la creciente actividad hacktivista. Estas amenazas han afectado a sectores críticos en todo el mundo, subrayando la necesidad de una vigilancia constante y colaboración global en ciberseguridad.
En el segundo trimestre de 2024, el Equipo Global de Investigación y Análisis de Kaspersky (GReAT) observó que, mientras algunos actores de amenazas mantuvieron sus patrones habituales, otros han actualizado significativamente sus herramientas y ampliado el alcance de sus actividades. Según la telemetría de la compañía, ha habido un aumento en las campañas de ciberespionaje sofisticadas que apuntan a diversos sectores, con los sistemas gubernamentales, militares, de telecomunicaciones y judiciales enfrentando el mayor número de amenazas a nivel mundial. Según Kaspersky, estos son los aspectos más destacados del último informe Q2 2024 de tendencias de APT:
- Explotación de amenazas de código abierto. Un desarrollo importante este trimestre fue la inserción de puertas traseras en XZ, una utilidad de compresión de código abierto ampliamente utilizada en distribuciones populares de Linux. Los atacantes emplearon técnicas de ingeniería social para obtener acceso persistente al entorno de desarrollo de software. El equipo GReAT de Kaspersky descubrió varios detalles que explican por qué esta amenaza pasó desapercibida durante años. Un factor clave fue que los atacantes implementaron una función anti-replay para evitar la captura o el secuestro de las comunicaciones de la puerta trasera. Además, utilizaron una técnica de esteganografía personalizada dentro del código x86 para ocultar la clave pública necesaria para descifrar la puerta trasera.
- Ataques de hacktivistas. La actividad hacktivista ha sido un aspecto significativo del panorama de amenazas este trimestre. Aunque la geopolítica a menudo impulsa acciones maliciosas, no todos los ataques registrados en el segundo trimestre estuvieron vinculados a zonas de conflicto activas. Un ejemplo destacado son los ataques del grupo Homeland Justice a entidades en Albania. Los atacantes lograron extraer más de 100 TB de datos, interrumpir webs oficiales y servicios de correo electrónico, y borrar servidores de bases de datos y copias de seguridad, causando daños extensos a las empresas objetivo.
- Actualización de conjuntos de herramientas. GReAT de Kaspersky destaca que los atacantes se tomaron el tiempo para actualizar sus conjuntos de herramientas. A principios de 2023, se descubrió al actor de amenazas GOFFEE cuando comenzó a usar una versión modificada de Owawa, un módulo malicioso de IIS monitorizado. Desde entonces, GOFFEE ha dejado de usar tanto Owawa como el implante RCE basado en PowerShell, VisualTaskel. Sin embargo, ha continuado sus intrusiones utilizando PowerTaskel, su anterior cadena de infección basada en HTA. Además, GOFFEE ha ampliado su kit de herramientas al introducir un nuevo cargador, disfrazado como un documento legítimo y distribuido por correo electrónico, mejorando aún más su capacidad para infiltrarse en los objetivos.
- Distribución geográfica. Ninguna región destacó como un foco de ataques APT este trimestre. En cambio, la actividad fue generalizada, afectando a todas las regiones. Este trimestre, las campañas APT apuntaron a Europa, América, Asia, Oriente Medio y África, lo que destaca el alcance global y el impacto de estas amenazas.
“Las APTs evolucionan continuamente, adaptando sus tácticas y ampliando su alcance, lo que las convierte en una fuerza implacable en el panorama cibernético. Para combatir estas amenazas en constante cambio, es crucial que la comunidad cibernética se una, compartiendo información y colaborando a través de fronteras. Solo a través de la vigilancia colectiva y la comunicación abierta podemos estar un paso por delante y proteger nuestro mundo digital”, comenta David Emm, Investigador Principal de Seguridad en GReAT de Kaspersky.
Más investigaciones exclusivas sobre las amenazas más complejas se revelarán en la Security Analyst Summit (SAS), que se llevará a cabo por decimosexta vez del 22 al 25 de octubre de 2024 en Bali.
GReAT de Kaspersky comparte activamente sus últimos hallazgos y conocimientos exclusivos a través de Kaspersky Threat Intelligence Portal (TIP).
Para obtener más información sobre el panorama de amenazas APT en el segundo trimestre de 2024, visita Securelist.
