Existen ciertos grupos maliciosos que han logrado eludir a las autoridades y hacerse de miles de víctimas, ése es el caso de Ebury que ha comprometido casi 400 mil servidores a lo largo de 15 años y, más recientemente, ampliado sus operaciones al robo de criptomonedas.
Marc-Etienne M. Léveillé, investigador de malware de Eset, recordó que hace diez años la empresa de origen eslovaca publicó un documento técnico sobre Operación Windigo, una campaña que usaba múltiples familias de código malicioso teniendo en su centro a Ebury.
Lo que realmente innovador es que fueron capaces de conectar diferentes familias de código malicioso y monetizarlo”, explicó durante Eset World 2024.
Lo que hacían era utilizar el código malicioso de Ebury para infectar servidores y así contar con una puerta trasera y robar credenciales.
Esto les permitió crear una botnet, también conocida como Ebury, que monetizaban al redireccionar el tráfico, realizar campañas de spam, hacer ataques de adversario en el medio o, simplemente, para alojar infraestructura maliciosa.
Tras la publicación del documento Windigo a principios de 2014, uno de los perpetradores fue arrestado en la frontera entre Finlandia y Rusia en 2015, luego extraditado a los Estados Unidos. Aunque inicialmente afirmó ser inocente, finalmente se declaró culpable de los cargos en 2017”, detalló.
Eset encontró que, pese a dicha detención, el grupo detrás de Ebury no sólo siguió realizando campañas, también evolucionó sus métodos de ataque y de monetización.
La empresa de ciberseguridad descubrió esto porque, a finales de 2021, fue contactada por la Unidad Nacional Holandesa contra Delitos de Alta Tecnología, la cual encontró ciertos servidores que parecían estar comprometidos con el código malicioso Ebury.
Esto resultó ser cierto y, a partir de ahí, ambas organizaciones han ganado una importante visibilidad sobre las operaciones de este grupo malicioso.
¿CÓMO TRABAJAN AHORA?
De acuerdo con la investigación, actualmente, cuando un sistema se ve comprometido por este código malicioso, los piratas informáticos utilizan las contraseñas y claves conocidas robadas para intentar iniciar sesión en sistemas relacionados.
Cada nueva versión principal de Ebury introduce algunos cambios importantes y nuevas características y técnicas de ofuscación”, advirtió Léveillé.
A esto se añaden nuevos métodos de infección, por ejemplo, encontraron que el grupo está comprometiendo la infraestructura de proveedores de hosting para así infectar los servidores que éstos alquilan.
Por ejemplo, la infraestructura de un popular registrador de dominios y proveedor de alojamiento web con sede en Estados Unidos fue infectado en 2019, de tal manera que los atacantes vulneraron aproximadamente 2 mil 500 servidores físicos y 60 mil servidores virtuales.
La empresa de ciberseguridad estima que este grupo malicioso pasó de tener 40 mil servidores infectados hace una década a afectar cerca de 400 mil en los últimos años, estando todavía comprometidos cerca de 100 mil al cierre de 2023.
No existe ningún límite geográfico para Ebury porque hay servidores comprometidos con este código malicioso en casi todos los países del mundo”, añadió el investigador.
En materia de monetización, Eset confirmó que Ebury también se expandió y ha sido pieza clave en varios atracos de criptomonedas.
Léveillé consideró que Ebury plantea una seria amenaza y un desafío para la comunidad de ciberseguridad porque no existe una solución sencilla que lo haga ineficaz.
CONFLICTOS ACTIVAN A LOS GRUPOS APT
Los conflictos geopolíticos como la guerra de Rusia contra Ucrania o Israel contra Palestina han provocado que los grupos de amenazas persistentes avanzadas, mejor conocidos como APT, estén bastante activos durante el primer trimestre de 2024.
Andy Garth, director de asuntos gubernamentales de Eset, explicó que estos grupos aprovechan problemas sociales, económicos y bélicos para beneficiarse o aquellos jugadores con los que están alineados.
Además de las guerras que están librándose actualmente, hay otros factores como las elecciones presidenciales en Estados Unidos, problemas económicos en Europa, luchas por los recursos en África y China enfrenta tensiones con Taiwán e, incluso, Filipinas.
América Latina es una región realmente dinámica, pero geopolíticamente muy desafiante. Hay disputas bilaterales entre países, así como desafíos económicos y de seguridad en algunas naciones, también es una región particularmente afectada por el cibercrimen”, añadió en el marco de Eset World 2024.
Ante esto, los grupos APT están realizando campañas maliciosas que se enfocan, en su mayoría a organizaciones gubernamentales y sectores relacionados con infraestructura crítica, siendo los más activos aquellos alineados a países como Rusia, China e Irán.
CONFLICTO EN ORIENTE MEDIO
Robert Lipovsky, gerente senior de investigación de malware e investigador principal de malware de Eset, detalló que la guerra de Israel con Palestina ha provocado que los APT alineados con Irán pasen de un enfoque de ciberespionaje y ransomware a una estrategia más agresiva.
Por ejemplo, el grupo Muddy Water se especializa en infiltrarse en los sistemas y redes para después vender ese acceso no autorizado a otros actores maliciosos y, aunque se ha enfocado en Israel, también tiene víctimas en Lebanon, Estados Unidos y África.
Por su parte, BiBiGun Agrius es un grupo APT hacktivista que apoya a Hamas que se ha enfocado en atacar a organismos de Israel con wipers, es decir, códigos maliciosos capaces de borrar o limpiar todos los datos de los equipos o sistemas que infectan.
Adicionalmente, Eset detectó a un grupo aún no identificado que ha sido responsable por atacar a más de 20 organizaciones en Israel y que en su código tiene el nombre de Aaron Bushnell, un militar estadunidense que se inmoló al no apoyar la guerra contra Palestina.
CHINA
Los APT chinos también son muy activos, la tendencia que se ha exacerbado en los últimos dos años es que su enfoque se ha ido desplazando de atacar principalmente en Asia a prácticamente todas partes del mundo”, resaltó Lipovsky.
Detalló que gracias a una filtración se pudo confirmar que la empresa china de servicios de seguridad I-SOON se dedica al ciberespionaje y está ligada a grupos APT como FishMonger, así como a Operation Chatty Goblin que fue en contra de sitios de apuestas.
Adicionalmente, el grupo Mustang Panda está atacando cada vez más a objetivos en Europa, principalmente empresas del sector de transporte de carga a cuyos sistemas posiblemente entren de manera física.
El investigador resaltó que también se detectó que otros grupos atacaron a Taiwán durante sus elecciones presidenciales a inicios de año.
Los actores de amenazas chinos se están convirtiendo o se han convertido en la principal amenaza cibernética global en términos de grupos APT”, advirtió.
¿Y RUSIA?
Eset encontró que una buena parte de los APT alineados con Rusia se han centrado en la guerra contra Ucrania. Por ejemplo, la campaña Operación Texonto ha servido para difundir información falsa sobre las protestas rusas relacionadas con las elecciones y la situación en Kharkiv, al este de Ucrania.
Fuente:Excelsior
