Las amenazas persistentes avanzadas (APT) suelen asociarse a ciberataques muy sofisticados. Con frecuencia, el atacante obtiene secretamente acceso a un sistema para robar información o interrumpir su funcionamiento normal. Estos ataques suelen ser creados y desplegados por actores que tienen la posibilidad de acceder a grandes recursos financieros y profesionales. Por ello, el equipo de investigación de Kaspersky se fijó rápidamente en WildPressure.
Hasta el momento, el equipo de investigación había podido obtener varias muestras casi idénticas del troyano “Milum” que no comparten ninguna similitud de código con otras campañas maliciosas conocidas. Todas ellas poseen sólidas capacidades para la gestión remota de dispositivos, lo que significa que una vez que un sistema se ha comprometido, un atacante puede tomar el control desde cualquier lugar. En concreto, el troyano puede:
- Descargar y ejecutar los comandos
- Recopilar información variada del dispositivo atacado y enviarlas al servidor de comando y control.
- Actualizarse a sí mismo a una versión más reciente
El equipo GReAT de Kaspersky fue testigo por primera vez de la propagación del troyano “Milum” en agosto de 2019. El análisis del código del malware mostró que las tres primeras muestras fueron creadas en marzo de 2019. Basándose en la telemetría disponible, los investigadores de Kaspersky creen que la mayoría de los objetivos de esta campaña se encuentran en Oriente Medio, y la campaña está todavía activa.
Desafortunadamente, todavía se desconoce mucho sobre esta campaña, incluyendo el mecanismo exacto de propagación de Milum.
“Que el sector industrial sea atacado es siempre una preocupación. Los analistas deben prestar atención porque las consecuencias de un ataque contra un objetivo industrial pueden ser devastadoras. Hasta ahora, no hemos visto ninguna pista que apoye la idea de que las intenciones de los atacantes de WildPressure vayan más allá de reunir información de las redes atacadas. Sin embargo, esta campaña todavía se está desarrollando activamente, y ya hemos descubierto nuevas muestras maliciosas aparte de las tres descubiertas originalmente. En este momento, no sabemos qué sucederá a medida que WildPressure vaya desarrollándose, pero seguiremos vigilando su progresión”, señala el investigador principal de seguridad Denis Legezo.
Para evitar convertirse en víctima de un ataque dirigido, los expertos de Kaspersky recomiendan lo siguiente:
- Actualizar regularmente todo el software de la organización, especialmente cuando se publique un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches ayudan a automatizar estos procesos.
- Implementar una solución de seguridad probada como Kaspersky Endpoint Security, equipada con capacidades de detección basadas en el comportamiento para una protección efectiva contra amenazas conocidas y desconocidas, incluyendo exploits.
- Además de adoptar una protección para el endpoint, implementar una solución de seguridad corporativa que detecte amenazas avanzadas en una etapa temprana.
- Asegurarse de que sus empleados entiendan la formación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos empiezan con phishing u otras técnicas.
- Asegurarse de que su equipo de seguridad tenga acceso a la información más reciente sobre ciberamenazas.
