Expertos de Kaspersky Lab identificaron una coincidencia en los ciberataques de dos agentes de amenazas, GreyEnergy, que se cree es el sucesor de BlackEnergy, y el grupo de ciberespionaje Sofacy. Al mismo tiempo, ambos agentes utilizaron los mismos servidores, aunque cada uno de ellos lo hizo con un propósito diferente.
Los grupos de hackers BlackEnergy y Sofacy son considerados dos de los principales agentes en el panorama de las amenazas cibernéticas modernas. En el pasado, sus actividades a menudo llevaban a consecuencias devastadoras a nivel nacional. BlackEnergy infligió uno de los ataques cibernéticos más notorios de la historia con sus acciones contra instalaciones energéticas de Ucrania en 2015, lo que provocó varias interrupciones en el suministro de electricidad.
Mientras tanto, el grupo Sofacy causó estragos con varios ataques contra organizaciones gubernamentales de Estados Unidos y Europa, además de agencias de seguridad e inteligencia nacional. Anteriormente, se había sospechado que existía una conexión entre los dos grupos, pero no se había comprobado hasta ahora, que se descubrió que GreyEnergy, sucesor de BlackEnergy, utilizaba malware para atacar objetivos de infraestructura industrial y crítica, principalmente en Ucrania, y demostró algunas fuertes similitudes arquitectónicas con BlackEnergy.
El departamento de ciberseguridad industrial (ICS) CERT de Kaspersky Lab, responsable de la investigación y eliminación de amenazas de sistemas industriales, encontró que dos servidores alojados en Ucrania y Suecia fueron utilizados por ambos agentes de amenazas al mismo tiempo en junio de 2018. El grupo GreyEnergy utilizó los servidores en su campaña de phishing para almacenar un archivo malicioso. Este archivo era descargado por los usuarios al abrir un documento de texto incluido en un correo electrónico de phishing.
Al mismo tiempo, Sofacy usó los mismos servidores como centro de mando y control para su propio malware. Como ambos grupos utilizaron los servidores durante un tiempo relativamente corto, tal coincidencia sugiere una infraestructura compartida, lo que fue confirmado al observar que ambos agentes de amenazas atacaban a una compañía una semana después de la otra con correos electrónicos de phishing. Además, ambos grupos utilizaron documentos de phishing similares bajo el disfraz de correos electrónicos del Ministerio de Energía de la República de Kazajstán.
Para proteger a las empresas contra los ataques de estos grupos, Kaspersky Lab sugirió a los clientes:
- Proporcionar capacitación dedicada sobre ciberseguridad a los empleados, educarles para que siempre verifiquen la dirección del enlace y el correo electrónico del remitente antes de hacer clic en cualquier cosa.
- Presentar iniciativas para crear conciencia sobre seguridad, incluida una fuerte capacitación con evaluaciones de habilidades y refuerzo mediante la repetición de ataques de phishing simulados.
- Automatizar las actualizaciones de los sistemas operativos, software de aplicaciones y soluciones de seguridad en los sistemas que forman parte de TI, así como en la red industrial de la empresa.