arbol de noticias logo

Árbol de Noticias

La información al alcance de todos

 

Kasperky logo nuevo

28 de octubre de 2020 - El 1 de octubre de 2020, la Agencia de Ciberseguridad (CISA) del Departamento de Seguridad Nacional (DHS) norteamericano, difundió información sobre una familia de malware conocida como SlothfulMedia, atribuida a un actor de ciberamenazas muy sofisticado. Un análisis más detallado del informe ha revelado que Kaspersky llevaba rastreando estas actividades desde junio de 2018 y que había identificado el actor detrás de esta amenaza como “IAmTheKing”. Teniendo en cuenta su actividad, los investigadores identificaron al grupo como un actor patrocinado por un Estado, cuyo objetivo principal era recopilar inteligencia de organizaciones de alto nivel, principalmente en Rusia.

 

Aunque la información sobre sus actividades se ha hecho pública recientemente, IAmTheKing ha estado muy activo en los últimos años. El actor cuenta con un kit de herramientas en continua evolución, domina las metodologías de pruebas de penetración tradicionales y cuenta con sólidos conocimientos de Powershell -una herramienta para la automatización de tareas y la gestión de la configuración.

 

En los últimos dos años, los investigadores de Kaspersky lograron descubrir tres familias de malware desarrolladas por el mismo actor de ciberamenazas, que se conocen por los nombres, KingOfHearts, QueenofHearts y QueenofClubs -una familia identificada por la CISA como SlothfulMedia. Las tres familias de malware son puertas traseras -programas que facilitan el acceso remoto al dispositivo infectado. Sin embargo, el kit de herramientas utilizado por el actor de amenazas también incluye un amplio arsenal de scripts Powershell, un dropper de JackOfHearts y una utilidad de captura de pantalla.

 

Los atacantes recurrieron principalmente a técnicas de spear phishing para infectar con malware los dispositivos de las víctimas y, a continuación, recurrieron a programas de control de seguridad conocidos para comprometer a otras máquinas dentro de la misma red.

 

Hasta hace muy poco, IAmTheKing se había centrado principalmente en recopilar inteligencia de organizaciones rusas de alto nivel, teniendo entre sus víctimas a entidades de la Administración, contratistas del sector de defensa, agencias de desarrollo público, universidades y compañías energéticas. Sin embargo, en 2020 Kaspersky descubrió incidentes relacionados con IAmTheKing en países del este de Europa y Asia Central. La CISA también ha informado sobre actividades en Ucrania y Malasia. No está claro si los cambios en los destinos objetivo son un indicio de que el actor está adaptando su estrategia o de si su kit de herramientas está siendo utilizado por otros actores.

 

IAmTheKing ha estado funcionando durante varios años y sus actividades son muy específicas, aunque su kit de herramientas, a pesar de estar bien desarrollado, no se puede considerar como técnicamente excepcional. Una vez que se ha hecho pública la existencia de este actor de ciberamenazas, cada vez más organizaciones buscarán hacerse con este kit de herramientas. Por ello, hemos querido compartir los datos que hemos recopilado hasta el momento, para fomentar la colaboración y ayudar a otros especialistas en ciberseguridad a desarrollar medidas de protección frente a este actor de amenazas. Es importante señalar, sin embargo, que ahora que la existencia de IAmTheKing es de dominio público, este podría intentar adaptarse y actualizar su kit de herramientas. Por lo tanto, seguiremos investigando y compartiendo información sobre la actividad de este actor de amenazas con nuestros clientes”, ha comentado Ivan Kwiatkowski, investigador senior de seguridad del equipo de análisis e investigación global de Kaspersky (GReAT).

 

Más información sobre el kit de herramientas, IAmTheKing en Securelist.

 

Para mantenerse seguro ante amenazas como el malware de IAmTheKing, Kaspersky recomienda seguir estas recomendaciones:

  • Rastrear las amenazas utilizando las reglas YARA. Descubra más sobre la caza de amenazas con YARA con la ayuda de la formación online de Kaspersky: https://kas.pr/o6u3

  • Proporcionar al equipo SOC acceso a la última inteligencia sobre amenazas (TI). Kaspersky Threat Intellligence Portal es un punto de acceso único a la inteligencia sobre amenazas de Kaspersky, con datos y conocimientos sobre ciberataques recopilados por la compañía a lo largo de más de 20 años.

  • Implementar soluciones EDR, tales como Kaspersky Endpoint Detection and Response para la detección a nivel de endpoint, la investigación y la resolución rápida de incidencias. Esta solución es capaz de detectar ataques que aprovechan software legítimo.

  • Implementar una solución de seguridad a nivel corporativo, tal como Kaspersky Anti Targeted Attack Platform, y adoptar medidas de protección de los endpoint. Esto permitirá detectar amenazas avanzadas a nivel de red en sus fases iniciales.

Kaspersky

Kaspersky es una compañía global de ciberseguridad fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 250.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es