Autor: Susana B. García para CIBERPRISMA
La empresa de ciberseguridad ESET informó que detectó una campaña de espionaje desplegada en países de habla hispana. “Bandidos”, tal es el nombre de fantasía asignado a esta, emplea nuevas versiones del Código Malicioso Bandook, un antiguo conocido en el mundo de la ciberseguridad. En efecto, su certificado de origen se atribuyó a un desarrollador libanés en 2007 pero su actividad no fue documentada sino hasta mediados de la década pasada, cuando otras empresas de ciberseguridad atribuyeron una serie de ciberataques a dos empresas privadas vinculadas al gobierno de Kazajistán y al grupo que denominaron “Dark Caracal” vinculado al gobierno libanés.
Este anuncio generará una legítima preocupación en las organizaciones que operan redes corporativas en países de habla hispana. En particular si tenemos en cuenta que estas campañas suelen ser la antesala del infierno, pues abren las puertas de las redes corporativas a las ligas mayores de las ciberorganizaciones criminales que vienen desplegando ataques ransomware a diestra y siniestra en los últimos años.
La secuencia de ataque se inicia mediante un ataque de spearphishing (phishing dirigido): se envía un correo electrónico infectado con un adjunto “.pdf”, como en este caso, dirigido a algún integrante de la organización que, al abrir el adjunto habilita al “instalador” a descargar el troyano de acceso remoto (RAT según su sigla en inglés) que permitirá exfiltrar los datos de la información en beneficio del agresor. Si bien hemos de reconocer que el método no es de los más sofisticados, no es necesariamente poco efectivo a la luz de la miríada de incidentes de estas características que se suceden en este nuevo milenio y que se intensificaron durante la pandemia COVID.
Sin embargo, en las primeras líneas de su informe, los investigadores advierten que el 90% de las detecciones corresponden solamente a organizaciones de Venezuela, sin mencionar a otros países. Los investigadores observaron “más de 200 detecciones de droppers (instaladores) de este malware” se corresponderían con intrusiones a las redes corporativas pertenecientes a “empresas manufactureras, de construcción, atención medica, servicios de software e incluso minoristas” venezolanas. Finalmente, ESET concluye que “las víctimas y el método para abordarlas se parecen más a los de una operación de ciberdelito que a actividades de grupos APT” (sigla en inglés para identificar a una Amenaza Persistente Avanzada, denominación que se asigna a ciberorganizaciones que operan con patrocinio de un Estado).
El mismo malware habría protagonizado una campaña de ciberataques a diferentes sectores (gobierno, industria, finanzas, sanidad, educación, etc) en 2020 según informara Checkpoint Research Lab. Entre los más de 21 países afectados, figura solamente Chile en América Latina.
Bandook, un malware que estuvo desaparecido del escenario de amenazas por más de una década, reaparece en 2015-2017 vinculado a operaciones de espionaje y en 2020 en diferentes versiones vinculado a ciberataques a empresas de sectores estratégicos en diferentes continentes.
La versatilidad de este malware, su constante innovación y la posibilidad que se encuentre a la venta muy fácilmente y a precios accesibles en Dark Web son todos factores que sin duda despertarán la atención de más de una organización ciber delictiva o un gobierno que, con fines políticos, decida violar la privacidad o controlar la libertad de expresión de sus ciudadanos.
Kazajistán o el Líbano pueden estar fuera del radar de América Latina y para otras regiones del mundo, pero eso no impide que cualquiera sea la localización del país o la organización pueda convertirse en víctima de una infraestructura de ataque cuyo autor o administrador vende al mejor postor.
Fuentes:
Ciberprisma - alianza por la ciberseguridad 