Las infraestructuras críticas son uno de los objetivos preferidos de las campañas de ataques sofisticados APT (Amenazas Avanzadas Persistentes). Lo que las convierte realmente en peligrosas es que las ATP no atacan de forma aleatoria, sino que tienen un objetivo específico. Si un ciberataque avanzado consigue paralizar el suministro de agua o interrumpir el servicio de un hospital, el APT logra su misión: debilitar un país “enemigo”.

LYCEUM, una nueva amenaza

En julio, vimos un ejemplo de esta actividad contra infraestructuras críticas cuando una APT llamada XENOTIME, que tenía fama de atacar a compañías petrolíferas en Medio Oriente, empezó a entrar en las redes de compañías eléctricas en Estados Unidos.

Ahora, una nueva APT llamada LYCEUM ha sido detectada comprometiendo compañías gasistas y petrolíferas en Medio Oriente. Según los investigadores de Dell SecureWorks, el grupo podría haber estado activo desde abril de 2018. Los registros de dominio sugieren que LYCEUM llevó a cabo ataques en Sudáfrica el pasado año, posiblemente en el sector de las telecomunicaciones. El enfoque del grupo parece ser obtener y expandir el acceso dentro de una red objetivo.

Un amplio abanico de tácticas

Para acceder a las cuentas de las empresas víctimas, los atacantes de LYCEUM utilizaban una táctica llamada ‘password spraying’. Esto es el uso de una lista de contraseñas comunes que se utiliza para intentar acceder a un gran número de cuentas en un ataque de fuerza bruta. Una vez comprometida la cuenta, el grupo la usa para llevar a cabo un ataque de spear phishing contra otros usuarios en la empresa, mandando archivos de Excel maliciosos.

Una característica curiosa de esta campaña es el sentido irónico de los atacantes. Muchos de los emails utilizaban un asunto relacionado con  “mejores prácticas de seguridad”. Por ejemplo, un email contenía un archivo adjunto malicioso llamado ‘las 25 peores contraseñas de 2017’.

Cuando un usuario hace clic en el Excel adjunto, se despliega un malware llamado DanBot, un troyano de acceso remoto (RAT, por sus siglas en inglés), que se puede utilizar para ejecutar comandos arbitrarios y para cargar y descargar archivos. Otra herramienta que utiliza LYCEUM se llama kl.ps, que es un keylogger personalizado.

El origen de LYCEUM

A pesar de la información registrada, el grupo de investigadores parece no poder determinar exactamente el origen LYCEUM, pero ya habían visto anteriormente algo del estilo utilizado por este grupo cibercriminal,  explica Rafe Pilling de SecureWorks, “Fue muy interesante descubrir un nuevo grupo con un estilo parecido al de APT iraníes, pero que, por lo demás, no tenía características técnicas que nos permitieran relacionarlo con ninguna actividad documentada anterior.”

Cómo defenderse contra esta amenaza

La intrusión de un atacante en cualquier empresa u organización es una preocupación importante. Pero cuando se trata de organizaciones que controlan algo tan importante como la energía de un país, protegerse contra estas amenazas se vuelve imprescindible.

El uso de una técnica como ‘password spraying’ subraya la importancia de las contraseñas robustas. No hay que utilizar combinaciones obvias como qwerty o 1234. También es importante no reciclar contraseñas en múltiples cuentas—si una contraseña se utiliza para todos los servicios, una brecha de datos puede proporcionar credenciales que pueden utilizarse en ataques de relleno de credenciales.

El uso de archivos adjuntos maliciosos en esta campaña nos recuerda de la importancia de ejercer precaución con los archivos que recibimos en el correo electrónico. En el caso de LYCEUM, es particularmente relevante, ya que el uso de spear phishing significa que los correos parecen provenir de un compañero conocido. Hay que plantearse si el compañero en cuestión realmente enviaría un archivo de este tipo.

Otro elemento vital en la protección contra estas amenazas son las soluciones de ciberseguridad avanzada. Panda Adaptive Defense monitoriza de manera constante todos los procesos en ejecución en un sistema informático. Detiene cualquier proceso sospecho antes de que llegue a ejecutarse. Esto significa que, aunque un archivo malicioso llegue en un email, no perjudicará a tu empresa.