20.03.2024 / Noticias
Observatorio Digital del CCN: «CiberEuropa»
Introducción del Observatorio Digital en #Cibereuropa
El dossier del Observatorio Digital #CiberEuropa se presenta como un resumen mensual que ofrece una perspectiva concisa y ágil sobre el estado actual del ciberespacio europeo, basándose en los ciberataques notificados contra infraestructuras digitales de los estados miembros de la Unión Europea. Si bien este Observatorio Digital se enfoca principalmente en el ámbito europeo, también hace referencia a sucesos en áreas limítrofes (tal como Ucrania) cuando estos son relevantes para ilustrar tendencias emergentes, estrategias cibernéticas novedosas y malware recientemente detectado.
El Observatorio Digital no busca ser exhaustivo sino más bien accesible al público general, por lo que ofrece un resumen de las características esenciales de los incidentes, omitiendo detalles clasificados o delicados.
La finalidad de este Observatorio Digital es dotar al usuario de un análisis visual que le permita comprender la naturaleza de los incidentes, el tipo de amenazas cibernéticas, las tácticas y estrategias empleadas, así como las variantes más recientes de software malicioso que están afectando a los sistemas europeos en el periodo más actual.
La analogía utilizada en este Observatorio Digital es la de medir la ‘temperatura’ del ciberespacio, evaluando la frecuencia y gravedad de los ataques cibernéticos, así como la vulnerabilidad de los sistemas afectados. Para medir la «temperatura» en el Observatorio Digital, se emplea un sistema de codificación cromática con cuatro niveles que, más que definir un grado de riesgo o amenaza, busca describir mes a mes los ataques sufridos por el ciberespacio europeo, su potencial para perturbar gobiernos y estructuras críticas, su capacidad destructiva mediante el uso de códigos malintencionados, o su propósito de alterar la normalidad de los procesos electorales.
Cronología de incidentes destacados en el Observatorio Digital
Observatorio Digital: Incidente en Polonia
– FECHA: 15/02/2024
– ACTOR: Turla
– VÍCTIMA: ONGs en Polonia
– PROPÓSITO: Robo Datos, Ciberespionaje
– ATRIBUCIÓN DE ORIGEN: Rusia
– MALWARE: TinyTurla-NG
– TTP: Ingeniería Social, PowerShell, Persistencia, Exfiltración, Datos
El 15 de febrero de 2024, el grupo de inteligencia cibernética Cisco Talos identificó a ‘Turla’, una amenaza cibernética de alto nivel, utilizando un nuevo tipo de malware de puerta trasera llamado ‘TinyTurla-NG’. Este código malicioso fue empleado para comprometer los sistemas de organizaciones no gubernamentales en Polonia, con posibles objetivos de espionaje digital. Se cree que ‘Turla’, también conocido como ‘Secret Blizzard’, opera bajo la dirección del servicio de seguridad federal ruso (FSB).
La metodología específica del ataque no se ha esclarecido, pero se sospecha que involucra tácticas de ingeniería social, ya que las entidades afectadas descargaron el malware ‘TinyTurla-NG’ desde páginas web con WordPress expuestas a vulnerabilidades, las cuales habían sido previamente infiltradas por los atacantes para su uso en la propagación del código dañino.
Tras la infección de un sistema Windows, ‘TinyTurla-NG’, disfrazado como una biblioteca DLL, inicia la comunicación con un servidor de comando y control y lleva a cabo una serie de instrucciones en PowerShell. Estas acciones tienen como fin, en primer lugar, garantizar la sincronización y la persistencia del ataque y, en segundo lugar, sustraer y transferir archivos en diversos formatos a servidores bajo el dominio del agresor.
Observatorio Digital: Incidente en Parlamento Europeo
– FECHA: 21/02/2024
– ACTOR:
– VÍCTIMA: Miembros del Parlamento Europeo
– PROPÓSITO: Ciberespionaje
– ATRIBUCIÓN DE ORIGEN: Rusia
– MALWARE: Spyware
– TTP: No reportados, probablemente ingeniería social para la implantación de malware
El día 21 de febrero de 2024, se señalaba a entidades cibernéticas, supuestamente asociadas con el gobierno ruso, como responsables de un ciberataque que resultó en la infección de dispositivos móviles de integrantes del Subcomité de Seguridad y Defensa del Parlamento Europeo con software espía. La identificación de los actores no se ha especificado en detalle, y se ha dado a conocer la variedad de software espía utilizado en el incidente.
Observatorio Digital: Incidente en Lituania
– FECHA: 24/02/2024
– ACTOR:
– VÍCTIMA: Instituciones y empresas de Lituania
– PROPÓSITO FIMI: (Foreign Information Manipulation and Interference)
– ATRIBUCIÓN DE ORIGEN: China
– MALWARE:
– TTP: Desinformación Robo de información
El informe de Evaluación Nacional de Amenazas de Lituania del 24 de febrero de 2024 destacó un incremento en las operaciones de inteligencia chinas dentro del país. Según el Servicio de Seguridad e Inteligencia de Defensa (VSD) lituano, las redes sociales son una herramienta primordial para los agentes chinos, quienes las emplean para localizar y contactar a individuos que cumplen con ciertos perfiles de interés. Estas personas, que podrían poseer información confidencial o conexiones importantes con oficiales, políticos, periodistas, empresarios y académicos, son potenciales intermediarios en actividades de espionaje.
El VSD indica que los agentes de inteligencia de China a menudo se hacen pasar por representantes de empresas o think tanks para acercarse a estos individuos, ofreciéndoles incentivos económicos a cambio de información. Comúnmente, se invita a los objetivos a visitar China, donde se les compensa y se les asignan nuevas tareas de inteligencia.
Además, el VSD señala un aumento en el ciberespionaje por parte de China hacia Lituania, con actores cibernéticos vinculados al país asiático realizando análisis de vulnerabilidad en las redes de instituciones gubernamentales lituanas. El objetivo es infiltrarse y sustraer datos, enfocándose en información sobre la dinámica social interna, las tensiones políticas, la política exterior lituana y los procesos electorales nacionales y del Parlamento Europeo.
Observatorio Digital: Incidente en las Organizaciones ucranianas en países de la UE
– FECHA: 26/02/2024
– ACTOR: UAC-0184
– VÍCTIMA: Organizaciones ucranianas en países de la UE
– PROPÓSITO: Ciberespionaje
– ATRIBUCIÓN DE ORIGEN: Rusia
– MALWARE: IDAT, Remcos
– TTP: Ingeniería Social, Esteganografía, PowerShell, Elevación de privilegios, Robo de ficheros Captura de teclado, Capturas de pantalla, Evasión, Proxy.
El 26 de febrero de 2024, Morphisec informó acerca de una ofensiva cibernética, presuntamente originada en Rusia y conocida como UAC-0184, que tenía como blanco los sistemas informáticos de una entidad ucraniana con sede en Finlandia. El ataque utilizó ‘Remcos’, un troyano de acceso remoto (RAT) ampliamente reconocido y disponible públicamente desde 2019. Informes previos del CERT ucraniano y Uptycs en enero de 2024 ya habían señalado ataques similares en Ucrania, atribuyéndolos a amenazas cibernéticas rusas no especificadas, como UAC-0050.
El método de ataque no se ha detallado, pero se presume que podría involucrar estrategias de ingeniería social, como el phishing por correo electrónico, que incitan a la víctima a descargar en su sistema Windows un malware inyector conocido como ‘IDAT’. Este código malicioso utiliza técnicas de esteganografía para camuflar el contenido nocivo dentro de un archivo de imagen PNG. Posteriormente, mediante un script en JavaScript, se descarga un ejecutable de Windows que, al ser decodificado, revela un falso proceso del explorador de Windows diseñado para inyectar el RAT ‘Remcos’.
Observatorio Digital: Incidente en infraestructuras informáticas en la nube
– FECHA: 26/02/2024
– ACTOR: APT29
– VÍCTIMA: Infraestructuras informáticas en la nube
– PROPÓSITO: Ciberespionaje
– ATRIBUCIÓN DE ORIGEN: Rusia
– MALWARE: MagicWeb
– TTP: Fuerza Bruta, Reutilización de contraselas, Pulverización de contraseñas, Cuentas válidas Robo de Tokens, Fatiga MFA, Proxy Residente
El 26 de febrero de 2024, la Agencia para la Seguridad en Infraestructuras (CISA) de EE. UU. alertó sobre una operación de ciberespionaje que se cree es llevada a cabo por la conocida amenaza APT29, vinculada al Servicio de Inteligencia Exterior de Rusia (SVR). Esta campaña se dirige a infraestructuras de servicios en la nube y utiliza métodos ya conocidos como la pulverización y reutilización de contraseñas. Además, se ha incorporado una nueva táctica denominada “bombardeo MFA” o “fatiga MFA”, que consiste en saturar a la víctima con solicitudes de autenticación multifactor hasta obtener una respuesta afirmativa.
Tras conseguir acceso a los servicios en la nube, APT29 tiende a implementar un malware llamado ‘MagicWeb’ para la movilidad lateral dentro de los entornos de servicios federados de Directorio Activo de Windows (AD-FS). Este malware se caracteriza por insertar una versión alterada y maliciosa de la biblioteca legítima Microsoft.IdentityServer.Diagnostics.DLL, que contiene una puerta trasera, permitiendo así el control continuo del sistema comprometido.
Observatorio Digital: Incidente de los Dispositivos EdgeRouter
– FECHA: 27/02/2024
– ACTOR: APT28
– VÍCTIMA: Dispositivos EdgeRouter
– PROPÓSITO: Ciberespionaje
– ATRIBUCIÓN DE ORIGEN: Rusia
– MALWARE: Moobot
– TTP: Explotación de vulnerabilidad, BitB, Phishing, Escalada Privilegios, Movimiento lateral, Exfiltración datos
El 27 de febrero de 2024, una alerta emitida por agencias de ciberseguridad de EE. UU., Brasil, Corea del Sur y varios países europeos, incluyendo Alemania, Bélgica, Francia, Letonia, Polonia y Reino Unido, señalaba una serie de actividades de ciberespionaje. Estas acciones fueron atribuidas a APT28, un grupo de ciberamenazas avanzadas considerado parte del 85º Centro de Servicios Especiales del GRU ruso.
La advertencia se centraba en la infección generalizada de routers EdgeRouter de Ubiquiti, dispositivos que operan con Linux y que son comunes en entornos domésticos y de pequeñas empresas. La configuración predeterminada de estos dispositivos, que a menudo incluye credenciales estándar, falta de firewalls y actualizaciones de software no automáticas, los convierte en blancos ideales para ataques cibernéticos.
Según el análisis, APT28 habría creado una botnet llamada ‘Moobot’ para identificar y comprometer routers vulnerables a través de Internet, utilizando comandos OpenSSH. Una vez infectados, los atacantes ejecutaban scripts en Python para realizar ataques de scripting entre sitios o ataques de navegador en el navegador (BitB), con el fin de sustraer credenciales de autenticación de servicios de correo electrónico webmail. Además, en ciertos casos, se aprovechaban de la vulnerabilidad crítica CVE-2023-23397 en Microsoft Outlook.
Observatorio Digital: Incidente de Sociedad de Moldavia
– FECHA: 27.02.2024
– ACTOR:
– VÍCTIMA: Sociedad de Moldavia
– PROPÓSITO: FIMI (Foreign Information Manipulation and Interference)
– ATRIBUCIÓN DE ORIGEN: Rusia
– MALWARE:
– TTP: Desinformación
El 27 de febrero de 2024, el Comité de Inteligencia del Presidente de Ucrania comunicaba, a través de Telegram, que Rusia había lanzado una campaña de desinformación digital, con un presupuesto de 1.500 millones de dólares, destinada a debilitar el respaldo internacional hacia Ucrania. La operación, apodada ‘Maidan-3’, busca influir en la percepción pública occidental, aunque no se detallaron más aspectos de la misma.
Adicionalmente, en marzo de 2024, el director del Servicio de Seguridad e Inteligencia de Moldavia (SIS) acusaba a Rusia de orquestar “ataques híbridos” para fomentar la discordia social en Moldavia y afectar las elecciones presidenciales previstas para el otoño de 2024, que incluirán una consulta sobre la adhesión a la Unión Europea. El SIS moldavo alertaba que la estrategia rusa implicaría un “uso extensivo de las redes sociales”, como Telegram y TikTok, para promocionar figuras políticas afines a Moscú, impulsar manifestaciones contra el gobierno e incitar al odio entre distintas etnias.
Observatorio Digital: Incidente a webs de entidades públicas y empresas en países europeos
– FECHA: Febrero 2024
– ACTOR: NoName057
– VÍCTIMAS: Webs de entidades públicas y empresas en países europeos
– PROPÓSITO: Disrupción
– ATRIBUCIÓN DE ORIGEN: Rusia
– MALWARE: Botnet DDoSia
– TTP: DDoS
En febrero de 2024, el colectivo hacktivista pro-ruso ‘NoName057’ continuó ejecutando ataques de denegación de servicio (DDoS) contra sitios web de varios países europeos, extendiendo el periodo de ataque de entre 24 y 72 horas a una semana o más. Estos ataques comenzaron en España, justificados primero como protesta por el apoyo del país a Ucrania y luego como respaldo a las protestas agrícolas en Europa. Posteriormente, ‘NoName057’ aplicó la misma justificación para ataques similares en Italia.
Los sitios web afectados en España incluyeron aquellos previamente atacados, así como los de parlamentos regionales. ‘NoName057’ también dirigió ataques a Japón, Dinamarca y los Países Bajos, manteniendo la estrategia de colaboración con otros grupos hacktivistas pro-rusos como ‘CyberArmy of Russia’, ‘22C’, ‘Phoenix’, ‘Federal Legion’, ‘UserSec’ y ‘CyberDragon’, todos reivindicando su participación en los ataques DDoS.
Observatorio Digital: Incidente a Entidades públicas y empresas en Europa
– FECHA: Febrero 2024
– ACTOR: CyberArmy of Russia
– VÍCTIMAS: Entidades públicas y empresas en Europa
– PROPÓSITO: Disrupción
– ATRIBUCIÓN DE ORIGEN: Rusia
– MALWARE: Varias Botnets
– TTP: DDoS, iSQL
Además de sus conocidos ataques DDoS, la entidad de hacktivismo híbrido pro-ruso ‘CyberArmy of Russia’ ha incrementado notablemente la realización de ataques de inyección SQL contra sitios web vulnerables en Europa. Estos ataques han afectado principalmente a sitios de comercio electrónico con debilidades de seguridad evidentes. Aunque esto no representa un avance significativo en las habilidades técnicas de ‘CyberArmy of Russia’, las inyecciones SQL podrían comprometer sitios web institucionales que no estén suficientemente protegidos. Un ejemplo de esto es el ataque de inyección SQL realizado en la página web del Ayuntamiento de Alovera en Guadalajara, España, un sitio que ya había demostrado ser vulnerable en ataques anteriores no relacionados con el hacktivismo pro-ruso.
Observatorio Digital: Incidente a Instituciones de Gobierno en Europa
– FECHA: Febrero 2024
– ACTORES: Knight, Mogilevich, Phobos
– VÍCTIMA: Instituciones de gobierno en Europa
– PROPÓSITO: Extorsión, Monetización, Estafa
– ATRIBUCIÓN DE ORIGEN: No confirmada
– MALWARE: Ransomware
– TTP: Escalada privilegios, Movimiento lateral, Exfiltración datos, Encriptado de contenidos
Durante febrero de 2024, se registraron varios incidentes de ransomware que afectaron a importantes instituciones. Entre ellos, la Cámara de Diputados de Rumania sufrió un ataque por parte del grupo ‘Knight’, y el Ministerio de Asuntos Exteriores de Irlanda fue presuntamente infectado por ‘Mogilevich’, quien afirmó haber robado 7GB de datos. Sin embargo, este último caso ha suscitado dudas, ya que varias de las infecciones atribuidas a ‘Mogilevich’ han resultado ser fraudulentas, incluida la del Ministerio irlandés, que no ha confirmado ninguna brecha de seguridad.
Además, el 29 de febrero de 2024, la Agencia para la Ciberseguridad en Infraestructuras (CISA) de EE. UU. alertó sobre un aumento en la actividad del ransomware ‘Phobos’, que ha estado utilizando múltiples variantes de ransomware como ‘Elking’, ‘Eight’, ‘Devos’, ‘Backmydata’ y ‘Faust’. ‘Phobos’ prefiere ataques de phishing por correo electrónico con archivos adjuntos dañinos y la explotación de vulnerabilidades en el protocolo de escritorio remoto (RDP).
Por otro lado, aunque no confirmado como un ataque de ransomware, el fabricante alemán de baterías Varta experimentó un sabotaje informático el 12 de febrero de 2024, que resultó en la interrupción de la producción en al menos cinco de sus plantas industriales.
Si estás interesado en mantener actualizada tu información sobre las últimas novedades del Observatorio Digital o sobre sucesos relacionados con la seguridad informática, protección de información, inteligencia artificial y todas nuestras ofertas de empleo, te animamos a seguirnos en nuestras redes sociales y visitar nuestra sección de noticias.
Si estás interesado en mantener actualizada tu información sobre las últimas novedades y sucesos relacionados con la seguridad informática, protección de información, inteligencia artificial y todas nuestras ofertas de empleo, te animamos a seguirnos en nuestras redes sociales y visitar nuestra sección de noticias.