Grupo de hackers del estado nación utiliza técnicas de minería para permanecer oculto

BISMUTH, un actor de la amenaza del estado nación, está aprovechando las técnicas de minería criptográfica para disfrazar sus ataques, según el equipo de Inteligencia de Amenazas de Microsoft 365 Defender. El equipo dio a conocer esta noticia a través de un informe el 30 de noviembre, señalando que el grupo de hackers ahora está liberando malware de minería de criptografía junto con sus habituales kits de herramientas de espionaje cibernético.

Según el informe, BISMUTH ha estado ejecutando sofisticados ataques de espionaje cibernético desde 2012, aprovechando herramientas personalizadas y de código abierto. Según se informa, el grupo ha estado apuntando a grandes corporaciones multinacionales, servicios financieros gubernamentales, instituciones educativas y organizaciones de derechos humanos y civiles. Sin embargo, los ataques más recientes de BISMUTH han adquirido una nueva forma, según el equipo de inteligencia de amenazas de Microsoft. Por ejemplo, el equipo destacó los ataques del grupo de julio a agosto de 2020, y señaló que el grupo lanzó mineros monero (XMR), dirigidos tanto a instituciones privadas como gubernamentales en Francia y Vietnam.

Al explicar cómo BISMUTH logró llevar a cabo estos ataques, el equipo de Microsoft 365 Defender Threat Intelligence dijo:

Como tal, el grupo aprovechó las alertas de baja prioridad de los mineros criptográficos para tratar de establecer su persistencia mientras volaba por debajo del radar.

Mezclarse para generar confianza con los objetivos

Según el equipo de Microsoft 365 Defender Threat Intelligence, el objetivo operativo de BISMUTH de establecer un monitoreo continuo y extraer datos útiles cuando surgen se mantuvo sin cambios. Sin embargo, el uso de mineros XMR abrió una puerta de entrada para que otros atacantes monetizaran las redes comprometidas. El equipo admitió que el uso de mineros criptográficos fue inesperado. No obstante, el equipo se apresuró a agregar que el movimiento fue consistente con el método del grupo para integrarse.

El equipo de inteligencia de amenazas tomó nota de que,

Según el informe, el uso de mineros criptográficos permitió a BISMUTH ocultar actividades más perjudiciales tras amenazas que muchos sistemas hacían pasar por malware de productos básicos. La publicación continúa advirtiendo que cuando se trata de troyanos de banca de productos básicos que traen software de rescate operado por humanos, los operadores de red deben tratar las infecciones de malware con urgencia ya que pueden indicar el inicio de ataques más sofisticados.

Medios efectivos para frenar tales ataques

Al describir algunas de las formas en que las organizaciones pueden desarrollar resistencia contra tales ataques, el informe señaló que las redes deben educar a sus usuarios finales sobre cómo proteger su información personal y comercial en las redes sociales. El informe también recomendó que los usuarios deben configurar los parámetros de filtrado de correo electrónico de Office 365, activar las reglas de reducción de superficie, no permitir macros o solo permitir macros de ubicaciones conocidas, y verificar la configuración del proxy y el firewall perimetral para restringir que los servidores hagan conexiones arbitrarias a Internet.

Además de esto, la publicación sugirió que los usuarios deberían imponer contraseñas de administrador seguras y aleatorias, usar autenticación de múltiples factores y evitar el uso de cuentas de servicio de nivel de administrador en todo el dominio.