A día de hoy el cibercrimen afecta a todo tipo de negocios, sea cual sea el sector en el que desarrolle la actividad. Este año, al aumento de la superficie de ataque debido al incremento del teletrabajo como medida para reducir los contagios por la Covid-19, se le añaden otros ciberriesgos derivados de la incertidumbre mundial. Los cibercriminales no dudan en aprovechar de manera activa este contexto para llevar a cabo campañas de phishing, propagar malware, explotar nuevas vulnerabilidades y disparar el número de ataques DDoS, entre otros; para poner en peligro la ciberseguridad de muchas empresas.
Cada organización puede constituir en algún momento un objetivo para los ciberatacantes. Hemos visto como el grupo APT llamado “Vicious Panda” lleva a cabo una campaña de spear phishing que utiliza la pandemia para propagar el malware del grupo. Y como decíamos, no solo el sector sanitario ha sido víctima de grupos organizados. Incluso las instituciones militares más avanzadas del mundo, como la agencia DISA (Defense Information Systems Agency) encargada de las comunicaciones para el Departameto de Defensa y para la Casa Blanca, informó el pasado mes de febrero que sufrió un importante ciberataque que comprometió los datos de hasta 200.000 funcionarios y personal militar.
Todos estos incidentes tienen consecuencias graves para las víctimas, desde daños reputacionales e interrupciones en la cadena productiva, llegando a paralizar el negocio y acarreando grandes pérdidas económicas. Y no cabe duda de que hay un sector especialmente vulnerable: las infraestructuras críticas y aquellos objetivos centrados en la defensa de un país, objetivos militares o diplomáticos, donde puede llegar a haber vidas humanas en juego.
Ahora CactusPete, un grupo APT con sede en China, salta a la palestra con una nueva campaña dirigida a objetivos militares y financieros en Europa del Este.
CactusPete: una APT más sofisticada en el tiempo
La APT con sede en China, conocida como CactusPete, ha regresado con una nueva campaña dirigida a objetivos militares y financieros en Europa del Este, lo que constituye una nueva geografía para la victimología del grupo, ya que históricamente su actividad parecía centrada en organizaciones dentro de un rango limitado de países: Corea del Sur, Japón, Estados Unidos y Taiwán. Ahora campañas del muestran que el grupo se ha desplazado hacia otras organizaciones de Asia y Europa del Este.
En esta ocasión ha mejorado su puerta trasera para atacar a organizaciones militares y financieras de Europa oriental y acceder a información confidencial. El grupo utilizó una nueva variante de la puerta trasera Bisonal, que permite a los atacantes robar información, ejecutar código en las máquinas de los objetivos y realizar movimientos laterales dentro de una red, según los investigadores de Kaspersky. Además, la velocidad con la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que las organizaciones que responden al perfil indicado en dicha área geográfica deben estar alerta. Además, en esta última campaña de 2020 vemos como el grupo ha seguido mejorando sus capacidades, con acceso a código más sofisticado como la plataforma de ataque modular ShadowPad para lanzar ciberataques.
¿Cómo protejo mis sistemas de una APT?
- Monitorización constante: La mejor manera de evitar que cualquier amenaza afecte a nuestros sistemas, es saber exactamente lo que ocurre en ellos en todo momento. Panda Adaptive Defense monitoriza en tiempo real todos los procesos que se están ejecutando en un sistema. Detecta cualquier actividad inusual e impide que los procesos desconocidos se lleven a cabo. De este modo, evita el peligro antes de que llegue a producirse.
- Respuesta proactiva con la caza de amenazas: En vez de responder de manera reactiva a las amenazas de malware, nuestros analistas de seguridad llevan a cabo servicios de Threat Hunting activo. Utilizando la información que hemos recogido durante nuestros 30 años de experiencia en la industria, buscan nuevas amenazas y comparan las hipótesis con los datos recopilados con nuestra solución EDR para comprobar su legitimidad.
- Sensibiliza a los usuarios sobre las buenas prácticas de seguridad: antes de que el potencial humano de tu empresa convierta en un eslabón débil de tu cadena de seguridad, es importante que le brindes la capacitación necesaria para que conozca todo lo necesario acerca de las mejores prácticas de protección de sistemas
- Ciberresiliencia empresarial: y más pensando en los objetivos críticos como lo son los de la APT CactusPete. La importancia de ser resiliente desde el punto de vista de la seguridad a través de un plan para conseguir volver al estado original tras los incidentes de seguridad y paliar sus efectos, es fundamental. El esquema común a todas las estrategias analizadas por Panda es la prevención, detección, contención y respuesta.