La guerra ha tenido consecuencias catastróficas en todos los ámbitos, incluido el cibernético, actualmente conocido como ciberguerra. Por esta razón, dado el aumento de las campañas de phishing y malware por parte de los atacantes rusos dirigidos a empresas nacionales, Netskope, especialista en SASE, muestra cómo reducir el riesgo de que se utilicen instancias de nube falsas para entregar contenido malicioso.

Hasta ahora, la mayoría de los actores de amenazas de Rusia han optado por respetar a los grupos locales, con algunas excepciones, como el operador de ransomware OldGremlin, que ha estado apuntando a este tipo de empresas desde la primavera de 2020. Ahora que muchos proveedores de seguridad han suspendido operaciones en el mercado; aprovechando que los ciudadanos son más vulnerables de lo habitual, el grupo ha resurgido con dos nuevas campañas de phishing que se benefician de las sanciones que actualmente afectan al país.

▶ Guerra Tecnológica: drones, ciberguerra e inteligencia artificial

El primero de ellos, lanzado el 22 de marzo, aprovechó la suspensión de Visa y Mastercard por parte de Rusia para engañar a los usuarios para que completaran un formulario para solicitar una nueva tarjeta. El supuesto documento es en realidad un documento malicioso de Office ubicado en Dropbox que, cuando se ejecuta, carga una plantilla alojada en el mismo servicio.

A través de una puerta trasera llamada Tiny Fluff, los atacantes pueden tomar el control de los puntos finales infectados y realizar actividades maliciosas como el robo de datos y archivos y la descarga de archivos arbitrarios.

El 25 de marzo se detectó otra versión simplificada de la campaña, y aunque la segunda operación ofrecía una versión más simple de TinyFluff, aún aprovechaba Dropbox para servir los archivos utilizados en las etapas iniciales del ataque.

“Una vez más, los atacantes han utilizado un servicio en la nube conocido para entregar contenido malicioso, y en este caso específico también están aprovechando la situación geopolítica que está provocando que tanto las organizaciones como los individuos sean más vulnerables”, indica Paolo Passeri, Director de Ciber-inteligencia de Netskope.

Sin embargo, esta no es la única campaña reciente que Dropbox ha explotado, en un ejemplo completamente diferente, los actores de amenazas atacaron la industria bancaria africana a través de un RemcosRAT proporcionado por Dropbox (nuevamente) y un OneDrive antiguo. Curiosamente, en la segunda campaña, la carga útil se entregó a través del descargador GuLoader, al menos en este caso, no a través de un servicio en la nube, sino a través de técnicas de contrabando de HTML.

Tráfico de red seguro con Netskope

Para ayudar a estas empresas, Netskope ha logrado minimizar el riesgo de que se utilicen instancias de nube falsas para entregar contenido malicioso. De esta forma, durante la cadena de ataque, Netskope, a través de su proxy web Next Generation Secure Web Gateway (SWG), permite:

• Bloquee el acceso (ya menudo aplique controles detallados) a docenas de servicios en la nube, como Dropbox, donde pueden usarlos instancias tanto personales como no corporativas.

• Impida las descargas de documentos maliciosos desde páginas web o servicios en la nube con un motor de protección contra amenazas que ofrece una variedad de motores, incluidos antivirus basados ​​en firmas, heurística avanzada, sandboxing y escáneres basados ​​en ML para documentos y ejecutables de Office.

• Evite cualquier redireccionamiento en la cadena de eliminación con un motor de filtrado de contenido que incluye 16 categorías de riesgos de seguridad detallados, como phishing y puntos de distribución de malware.

• Neutralización de ataques mejorada a través de Cloud Threat Exchange, un componente de Netskope Cloud Exchange, que admite el intercambio bidireccional automático de IoC (hash, IP, dominio y URL) con terceros, como tecnología EDR y feeds de usuarios.

• Obtenga conocimientos de seguridad más profundos con Netskope Advanced Analytics, que proporciona un panel de protección contra amenazas específicas con información sobre el tráfico malicioso que reside en instancias de la nube y páginas web que no son de la empresa, los principales usuarios atacados, que se utiliza para distribuir contenido malicioso, datos detallados en las principales aplicaciones, etc. Esta es una herramienta valiosa para los equipos SOC y los responsables de responder a los incidentes.

• SOS financiero: Los préstamos rápidos en línea irán al rescate
• Mujeres Hikvision busca crear una industria más incluyente que beneficie a las mujeres y a las empresas del sector
• Importancia de la Seguridad perimetral en empresas de la industria de energía 
• Thales Alenia Space proporcionará equipos de comunicación a la misión NEO Surveyor de la NASA
• Seguridad electrónica y conciencia ciudadana, dos factores clave para mejorar la experiencia y seguridad en los Sistemas de Transporte Público

Ciberguerra Rusia

– Aprovechando la salida de muchos proveedores de seguridad del país, el grupo OldGremlin lanzó dos campañas de phishing dirigidas a grupos rusos para eliminar los sistemas de pago como cebo.

– Con Secure Web Gateway (SWG) de próxima generación de Netskope, el riesgo de que se utilicen instancias de nube falsas para entregar contenido malicioso se reduce significativamente.

¿Qué opina sobre campañas de phishing y malware?