El Equipo Global de Investigación y Análisis (GReAT) de la empresa Kaspersky advirtió acerca de una campaña de ataques dirigidos cuya intención es distribuir Milum, un troyano malicioso que consigue el control a distancia de los dispositivos de varias organizaciones, incluso las que pertenecen al sector industrial. Esta operación aún está activa y se conoce como WildPressure.
Las Amenazas Persistentes Avanzadas (APTs) suelen relacionarse con los tipos más complejos de ataques cibernéticos; con mucha frecuencia, el atacante obtiene en forma secreta el acceso a un sistema para robar información o interrumpir su funcionamiento normal. Estos ataques son creados y realizados generalmente por agentes que cuentan con acceso a grandes recursos financieros y profesionales. “Es por eso que WildPressure rápidamente llamó la atención de los investigadores de Kaspersky”, explicó la compañía.
Hasta ahora, el equipo pudo encontrar varias muestras casi idénticas del troyano “Milum” que no comparten similitudes de código con ninguna campaña maliciosa conocida. Todos tienen sólidas posibilidades de manejar dispositivos a distancia, lo cual significa que una vez afectado el sistema un atacante tiene la posibilidad de tomar el control desde cualquier lugar.
El troyano puede descargar y ejecutar órdenes desde su operador, recopilar diversa información de la máquina atacada y enviarla al servidor de mando y control, así como actualizarse a una versión más nueva.
El equipo GReAT de Kaspersky fue testigo por primera vez de la propagación del troyano “Milum” en agosto de 2019. El análisis del código de ese malware mostró que los tres primeros ejemplos fueron creados en marzo de 2019. Según la telemetría disponible, los investigadores de Kaspersky creen que la mayoría de los objetivos de esta campaña están situados en el Medio Oriente y que la campaña se mantiene activa.
Sin embargo, aún hay muchos detalles de esta campaña que no están claros, incluso el mecanismo exacto de cómo se propaga Milum.
“Siempre que el sector industrial es objetivo de los ataques, resulta preocupante. Los analistas deben prestar atención porque las consecuencias de un ataque contra un objetivo industrial pueden ser devastadoras. Hasta el momento, no hemos visto ninguna pista que respalde la idea de que los atacantes que han creado WildPressure tengan otras intenciones además de recopilar información de las redes objetivo. Sin embargo, esta campaña todavía se está desarrollando activamente”, señaló Denis Legezo, investigador principal de Seguridad de Kaspersky.
“Ya hemos descubierto nuevas muestras maliciosas, aparte de las tres descubiertas originalmente. No sabemos todavía qué sucederá a medida que WildPressure se desarrolle, pero continuaremos monitoreando su progreso”, concluyó.