Andariel, un subgrupo de Lazarus, amplía sus ataques con un nuevo ransomware
Los expertos de Kaspersky han descubierto nuevos ataques de Andariel, un subgrupo de amenazas persistentes avanzadas (APT) de Lazarus, conocido por sus campañas en Corea del Sur. Los ataques incluían modificaciones del conocido malware DTrack, así como el uso del nuevo ransomware Maui. Su objetivo eran organizaciones de alto nivel en Estados Unidos, Japón, India, Vietnam y Rusia.
Andariel lleva operando más de una década dentro del grupo Lazarus, y los analistas de Kaspersky identificaron un interesante incidente en Japón relacionado con el ransomware Maui nunca visto hasta este momento. Sin embargo, en 2022, el grupo siguió ampliando su arsenal de malware y la geografía de sus ataques. Como informó CISA en julio de 2022, Andariel atacó a organizaciones públicas y sanitarias con el ransomware Maui. Tras su investigación, los expertos de Kaspersky han revelado un análisis exhaustivo del grupo APT.
El análisis muestra que Andariel ha desplegado un conocido malware DTrack, que ejecuta un shellcode incrustado, con una carga útil final de Windows que se aloja en la memoria. Según Kaspersky Threat Attribution Engine, este spyware habría sido creado por el grupo Lazarus y se utiliza para cargar y descargar archivos en los sistemas de las víctimas, registrar las pulsaciones del teclado y realizar otras acciones típicas de una herramienta de administración remota maliciosa (RAT). DTrack recopila información del sistema y el historial del navegador a través de comandos de Windows.
Este nuevo malware utilizado por Andariel en 2021 y 2022 ha sido bautizado como Maui ransomware. Los expertos de Kaspersky identificaron su lanzamiento tras el despliegue de DTrack en una organización. Maui ha sido empleado para ataques en múltiples ocasiones, principalmente dirigidos a empresas de Estados Unidos y Japón. Los analistas de Kaspersky han evaluado que el actor es oportunista y puede comprometer a cualquier empresa de todo el mundo, independientemente de su tipo de negocio, centrándose en su buena situación financiera.
«Llevamos años rastreando al grupo Andariel APT y vemos que sus ataques evolucionan constantemente. Lo que requiere una atención especial es que el grupo ha empezado a desplegar ransomware a escala global, lo que demuestra motivaciones e intereses financieros continuos», comenta Kurt Baumgartner, experto en seguridad de Kaspersky.
Para protegerse como usuario y como organización de los ataques de ransomware, los expertos de Kaspersky proponen seguir las siguientes recomendaciones:
- Evitar exponer los servicios de escritorio remoto (como RDP) a las redes públicas a menos que sea absolutamente necesario y utilizar siempre contraseñas seguras para ellos.
- Instalar de inmediato los parches disponibles para las soluciones VPN comerciales que proporcionan acceso a los empleados remotos y actúan como puertas de enlace en su red.
- Mantener siempre el software actualizado en todos los dispositivos que se utilicen para evitar que el ransomware aproveche las vulnerabilidades
- Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. Además de prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
- Hacer copias de seguridad de los datos con regularidad. Se debe asegurar de poder acceder rápidamente a ellos en caso de emergencia cuando los necesite
- Instalar soluciones como Kaspersky Endpoint Detection and Response Expert y el servicio Kaspersky Managed Detection and Response, que ayudan a identificar y detener los ataques durante las primeras etapas, antes de que los atacantes alcancen sus objetivos finales.
- Educar a los empleados para proteger el entorno corporativo. Los cursos de formación dedicados pueden ayudar, como los que se ofrecen en la Plataforma de Concienciación de Seguridad Automatizada de Kaspersky.
- Confiar en una solución de seguridad para endpoint fiable, como Kaspersky Endpoint Security for Business, que cuenta con prevención de exploits, detección de comportamientos y un motor de corrección capaz de revertir acciones maliciosas. KESB también cuenta con mecanismos de autodefensa, que pueden evitar su eliminación por parte de los ciberdelincuentes.
- Mantenerse informados a través de Inteligencia de Amenazas para estar al tanto de las TTPs en uso. El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para la TI de Kaspersky, que proporciona datos de ciberataques y perspectivas recopiladas por nuestro equipo durante casi 25 años. Para ayudar a las empresas a habilitar defensas eficaces en estos tiempos turbulentos, Kaspersky ha anunciado el acceso a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso, sin coste alguno. Solicite el acceso a esta oferta aquí.