Kaspersky Lab ha registrado un ejemplo raro e inusual de un ciberdelincuente que ataca a otro. En 2014, Hellsing, un grupo de ciberespionaje pequeño y técnicamente ordinario dirigido principalmente a organizaciones gubernamentales y diplomáticas en Asia, fue sujeto de un ataque de spear-phishing por otro actor de amenazas y decidió contraatacar. Kaspersky Lab cree que esto podría marcar el inicio de una nueva tendencia en la ciberactividad delictiva: las guerras de APT (amenazas persistentes avanzadas).
El descubrimiento fue realizado por los expertos de Kaspersky Lab durante una investigación en la actividad de Naikon, un grupo de ciberespionaje que también se enfocaba en organizaciones en la región Asia-Pacífico. Los expertos notaron que uno de los blancos de Naikon había detectado el intento de infectar sus sistemas con un correo de spear-phishing que contenía un anexo malicioso.
El receptor (blanco de los ciberdelincuentes) cuestionó la autenticidad del correo electrónico con el remitente y, aparentemente no satisfecho con la respuesta, no abrió el archivo anexo. Un poco más tarde el receptor reenvió al remitente un correo que contenía el propio malware recibido. Esta acción provocó la investigación de Kaspersky Lab y llevó al descubrimiento del grupo APT Hellsing.
El método de contraataque indica que Hellsing quiso identificar al grupo Naikon y reunir inteligencia sobre él. El análisis más profundo del actor de amenazas Hellsing por Kaspersky Lab revela un rastro de correos spear-phishing con archivos anexos maliciosos diseñados para propagar malware de espionaje entre diferentes organizaciones. Si la víctima abría el archivo adjunto malicioso, su sistema se infectaba con un backdoor personalizado capaz de descargar y cargar archivos, actualizarse y desactualizarse. Según las observaciones de Kaspersky Lab, el número de organizaciones atacadas por Hellsing es de unas 20.
Objetivos de Hellsing
La compañía ha detectado y bloqueado malware de Hellsing en Malasia, Filipinas, India, Indonesia y los Estados Unidos, y la mayoría de las víctimas se localizan en Malasia y Filipinas. Los atacantes también son muy selectivos en función del tipo de las organizaciones objetivo, procurando infectar en su mayor parte instituciones gubernamentales y diplomáticas.
«El ataque del grupo Naikon por Hellsing, en un tipo de cacería vampirezca vengativa – al estilo de «El Imperio contraataca»; es fascinante. Anteriormente, ya habíamos visto a grupos APT atacarse por accidente entre sí al robar libretas de direcciones de víctimas y luego enviarse correos masivos en cada una de estas listas. Sin embargo, teniendo en cuenta el objetivo y el origen del ataque, parece más probable que se trate de un ejemplo de ataque APT contra APT deliberado», dijo Costin Raiu, Director del Equipo Global de Análisis e Investigación Global de Kaspersky Lab.
Según el análisis de Kaspersky Lab, el actor de la amenaza Hellsing ha estado activo desde por lo menos el 2012 y sigue activo.
Protección
Para protegerse contra los ataques de Hellsing, Kaspersky Lab recomienda las siguientes mejores prácticas de seguridad básica:
- No abra archivos anexos sospechosos de personas que usted no conoce
- Tenga cuidado con archivos protegidos con contraseña que contengan SCR u otros archivos ejecutables
- Si no está seguro del archivo anexo, trate de abrirlo en un «sandbox» (espacio aislado)
- Asegúrese de que tiene un sistema operativo moderno con todos los parches instalados
- Actualice todas las aplicaciones de terceros como Microsoft Office, Java, Flash Player de Adobe y Adobe Reader.
Los productos de Kaspersky Lab detectan exitosamente y bloquean el malware utilizado por los actores de Hellsing y Naikon.