Grupo de hackers del estado nación utiliza técnicas de minería para permanecer oculto

Escrito por: Jinia Shawdagor
diciembre 2, 2020
  • BISMUTH ha estado operativo desde 2012, pero recientemente comenzó a usar mineros XMR.
  • Según el equipo de inteligencia de amenazas de Microsoft, los mineros criptográficos no se consideran amenazas graves.
  • Educar a los usuarios finales sobre la protección de los datos personales es una de las formas de frenar estos ataques.

BISMUTH, un actor de la amenaza del estado nación, está aprovechando las técnicas de minería criptográfica para disfrazar sus ataques, según el equipo de Inteligencia de Amenazas de Microsoft 365 Defender. El equipo dio a conocer esta noticia a través de un informe el 30 de noviembre, señalando que el grupo de hackers ahora está liberando malware de minería de criptografía junto con sus habituales kits de herramientas de espionaje cibernético.

Según el informe, BISMUTH ha estado ejecutando sofisticados ataques de espionaje cibernético desde 2012, aprovechando herramientas personalizadas y de código abierto. Según se informa, el grupo ha estado apuntando a grandes corporaciones multinacionales, servicios financieros gubernamentales, instituciones educativas y organizaciones de derechos humanos y civiles. Sin embargo, los ataques más recientes de BISMUTH han adquirido una nueva forma, según el equipo de inteligencia de amenazas de Microsoft. Por ejemplo, el equipo destacó los ataques del grupo de julio a agosto de 2020, y señaló que el grupo lanzó mineros monero (XMR), dirigidos tanto a instituciones privadas como gubernamentales en Francia y Vietnam.

¿Busca noticias rápidas, consejos y análisis de mercado? Suscríbase al boletín de Invezz, hoy.

Al explicar cómo BISMUTH logró llevar a cabo estos ataques, el equipo de Microsoft 365 Defender Threat Intelligence dijo:

“Los mineros de criptomonedas se asocian típicamente con operaciones delictivas cibernéticas, no con actividades sofisticadas de actores estatales. No son el tipo de amenaza más sofisticado, lo que también significa que no se encuentran entre los problemas de seguridad más críticos que los defensores abordan con urgencia».

Como tal, el grupo aprovechó las alertas de baja prioridad de los mineros criptográficos para tratar de establecer su persistencia mientras volaba por debajo del radar.

Mezclarse para generar confianza con los objetivos

Según el equipo de Microsoft 365 Defender Threat Intelligence, el objetivo operativo de BISMUTH de establecer un monitoreo continuo y extraer datos útiles cuando surgen se mantuvo sin cambios. Sin embargo, el uso de mineros XMR abrió una puerta de entrada para que otros atacantes monetizaran las redes comprometidas. El equipo admitió que el uso de mineros criptográficos fue inesperado. No obstante, el equipo se apresuró a agregar que el movimiento fue consistente con el método del grupo para integrarse.

El equipo de inteligencia de amenazas tomó nota de que,

“Este patrón de mezcla es particularmente evidente en estos ataques recientes, comenzando desde la etapa de acceso inicial: correos electrónicos de spear-phishing que fueron diseñados especialmente para un destinatario específico por organización de destino y mostraban signos de reconocimiento previo. En algunos casos, el grupo incluso se comunicaba con los objetivos, creando aún más credibilidad para convencer a los objetivos de que abran el archivo adjunto malicioso y comiencen la cadena de infección».

Según el informe, el uso de mineros criptográficos permitió a BISMUTH ocultar actividades más perjudiciales tras amenazas que muchos sistemas hacían pasar por malware de productos básicos. La publicación continúa advirtiendo que cuando se trata de troyanos de banca de productos básicos que traen software de rescate operado por humanos, los operadores de red deben tratar las infecciones de malware con urgencia ya que pueden indicar el inicio de ataques más sofisticados.

Consejo: ¿busca una aplicación para invertir de forma inteligente? Opere con seguridad registrándose en nuestra opción preferida, eToro: visite & cree una cuenta

Medios efectivos para frenar tales ataques

Al describir algunas de las formas en que las organizaciones pueden desarrollar resistencia contra tales ataques, el informe señaló que las redes deben educar a sus usuarios finales sobre cómo proteger su información personal y comercial en las redes sociales. El informe también recomendó que los usuarios deben configurar los parámetros de filtrado de correo electrónico de Office 365, activar las reglas de reducción de superficie, no permitir macros o solo permitir macros de ubicaciones conocidas, y verificar la configuración del proxy y el firewall perimetral para restringir que los servidores hagan conexiones arbitrarias a Internet.

Además de esto, la publicación sugirió que los usuarios deberían imponer contraseñas de administrador seguras y aleatorias, usar autenticación de múltiples factores y evitar el uso de cuentas de servicio de nivel de administrador en todo el dominio.