Ciberdelincuentes rusos dieron en el blanco de Google Drive.

Ciberdelincuentes rusos dieron en el blanco de Google Drive.

Rusia sigue incrementando el número y la sofisticación de sus ciberataques. Patrocinados y financiados por el Gobierno de Putin, grupos de ciberdelicuentes han intensificados sus campañas en los últimos meses en donde los servicios cloud de almacenamiento como DropBox o Google Drive se han convertido en objetivos diarios.

Rusia y su amplia organización experta en cibercrimen han visto que la debilidad no radica en la inseguridad de esas plataformas, sino en la confianza extrema que tienen los usuarios en ella. Y confianza, significa que la alerta se reduce. Un informe llevado a cabo por Palo Alto Nertworks (PAWN) muestra que los rusos están encontrando formas de aprovechar esa confianza para hacer que sus ataques sean extremadamente difíciles de detectar y prevenir. Las últimas campañas realizadas por una amenaza persistente avanzada (APT) que rastreó la principal empresa de ciberseguridad del mundo como Cloaked Ursa (también conocida como APT29, Nobelium o Cozy Bear) demuestran sofisticación y su capacidad de integrar rápidamente servicios populares de almacenamiento en la nube para evitar la detección.

Cloaked Ursa se está especializando en este tipo de servicios. Ya han aparecido varios ciberataques a plataformas populares como Trello y más recientemente, sus dos últimas campañas se han aprovechado de las vulnerabilidades de Google Drive por primera vez. La firma de ciberseguridad afirma que la naturaleza de los servicios de almacenamiento en la nube de la plataforma de Google Drive, combinada con la confianza que tienen en ella millones de clientes en todo el mundo, hace que su inclusión en el proceso de entrega de malware de esta APT sea excepcionalmente preocupante.

Rusia y su ejército de cibercriminales han visto que la confianza extrema que se tiene en plataformas como Trello o Google Drive puede llevar al éxito de un ciberataque

La clave del éxito de los atacantes de Putin es que cuando el uso de servicios confiables se combina con el cifrado se vuelve extremadamente difícil para las organizaciones detectar actividad maliciosa en relación con la campaña. Y es que, la industria de la ciberseguridad tiene la certeza que detrás de Cloaked Ursa se encuentra el gobierno ruso. Se trata de un grupo de ciberdelincuentes ya antiguo y cuyo origen se remonta a las campañas de malware contra Chechenia y otros países del antiguo bloque soviético en 2008, entre ellos Ucrania. En los últimos años, el hackeo del Comité Nacional Demócrata de los Estados Unidos (DNC) en 2016 se ha atribuido a este grupo, así como los compromisos de la cadena de suministro de SolarWinds en 2020. Aumentando la especificidad de la atribución, tanto Estados Unidos como el Reino Unido han atribuido públicamente este grupo al Servicio de Inteligencia Exterior (SVR) de Rusia.

Los últimos ciberataques estaban dirigidpos a misiones diplomáticas occidentales y tuvieron lugar los pasados meses de mayo y junio. Los datos apuntan a que afectó a alguna legación en Portugal y Brasil y para realizar el ciberataque colocaron una reunión en las agendas de diplomáticos con un enlace que contenía un archivo HTML malicioso (EnvyScout) y que sirvió para expandir el malware a través de la red de la misión.

Según PANW, las últimas campañas de Cloaked Ursa (también conocida como APT 29 / Nobelium / Cozy Bear) demuestran su sofisticación y su capacidad para integrar rápidamente servicios en la nube para evitar su detección. El uso de servicios en la nube legítimos y de confianza no es totalmente nuevo para este grupo.

Los clientes de Palo Alto Networks están protegidos contra los indicadores de compromiso (IoC) descritos en la publicación de la Unit 42 mediante el filtrado avanzado de URL, la seguridad de DNS y el análisis de malware de WildFire.

La visualización completa de las técnicas observadas, los cursos de acción relevantes y los IoC relacionados con este informe se pueden encontrar en el visor ATOM de la Unit 42. Palo Alto Networks también trabajó para revelar esta actividad tanto a Google como a DropBox, y han tomado medidas para bloquear la actividad.

 

No Comments

Post A Comment

× Contáctanos