Venezuela hosting

Kaspersky Lab ayuda a interrumpir la actividad del Grupo Lazarus

México y Brasil entre los países blanco más afectados

Sunrise, FL, 27 de febrero de 2016.Junto con Novetta y otros socios de la industria, Kaspersky Lab se enorgullece en anunciar su contribución con la Operación Blockbuster. El objetivo de la operación es interrumpir la actividad del Grupo Lazarus – una entidad altamente maliciosa responsable de la destrucción de datos, así como de operaciones de espionaje cibernético convencionales contra varias empresas de todo el mundo, incluyendo México y Brasil. Se cree que los atacantes son los mismos detrás del ataque a Sony Pictures Entertainment en 2014, y de la operación DarkSeoul que tenía como objetivo a medios de comunicación y a instituciones financieras en 2013.

Después de un ataque devastador contra la famosa compañía productora de películas, Sony Pictures Entertainment (SPE) en 2014, el Equipo de Análisis e Investigación Global de Kaspersky Lab comenzó su investigación con muestras del malware Destover nombrado públicamente tal como se usó en el ataque. Esto condujo a una investigación más amplia de un grupo de campañas afines de ciberespionaje y cibersabotaje dirigidas a instituciones financieras, estaciones de medios de comunicación y empresas de manufactura, entre otras.

Con base en las características comunes de las diferentes familias de malware, los expertos de la compañía fueron capaces de agrupar decenas de ataques aislados y determinar que todos pertenecían a un solo actor, como también lo confirmaron otros participantes de la Operación Blockbuster según sus propios análisis.

El actor de la amenaza Grupo Lazarus ya estaba activo varios años antes del incidente de SPE, y al parecer aún está activo. Kaspersky Lab y otra investigación de la Operación Blockbuster confirma una conexión entre el malware utilizado en diversas campañas, como la operación DarkSeoul contra bancos y organismos de radiodifusión en Seúl, Operación Troya con objetivos en las fuerzas militares en Corea del Sur, y el incidente de Sony Pictures.

Durante la investigación, investigadores de Kaspersky Lab intercambiaron información de hallazgos preliminares con AlienVault Labs. Con el tiempo, los investigadores de ambas compañías decidieron unir esfuerzos y llevar a cabo una investigación conjunta. Al mismo tiempo, muchas otras compañías y especialistas en seguridad estaban investigando la actividad del Grupo Lazarus. Una de estas compañías, Novetta, lideró una iniciativa destinada a la publicación de la inteligencia más extensa y procesable sobre la actividad del Grupo Lazarus. Como parte de la Operación Blockbuster, junto con Novetta, AlienVault Labs, y otros socios de la industria, Kaspersky Lab está publicando sus hallazgos en beneficio del público en general.

Un pajar lleno de agujas

Mediante el análisis de múltiples muestras de malware detectadas en diferentes incidentes de seguridad cibernética y también mediante la creación de reglas especiales de detección, Kaspersky Lab, AlienVault y otros especialistas de la Operación Blockbuster fueron capaces de identificar una serie de ataques que se le atribuyen al Grupo Lazarus.

Se encontró el vínculo de múltiples muestras con un mismo grupo durante el análisis de los métodos utilizados por este actor. En particular, se descubrió que los atacantes estaban reutilizando código de manera activa– tomando prestados fragmentos de código de un programa malicioso para utilizarlo en otro.

Además de eso, los investigadores fueron capaces de detectar similitudes en el modus operandi de los atacantes. Al analizar artefactos de diferentes ataques, descubrieron que los instaladores o droppers– archivos especiales que se utilizan para instalar diferentes variaciones de una carga maliciosa– conservaban sus cargas dentro de un archivo ZIP protegido por contraseña. La contraseña para los archivos utilizados en diferentes campañas era la misma y estaba preprogramada en el interior del instalador. La protección por contraseña se utilizaba con el fin de evitar que los sistemas automatizados extrajeran y analizaran la carga útil, pero en realidad ayudó a los investigadores para identificar al grupo.

Un método especial utilizado por los delincuentes para tratar de borrar las huellas de su presencia en un sistema infectado, junto con algunas de las técnicas que utilizaron para evitar ser detectados por los productos antivirus, también dio a los investigadores medios adicionales para agrupar ataques relacionados. Finalmente, decenas de diferentes ataques selectivos, cuyos operadores se habían considerado desconocidos, se vincularon con un solo actor.

Geografía de la Operación

El análisis de las fechas de compilación de muestras mostró que las primeras podrían haber sido compiladas en 2009, cinco años antes del ataque infame contra Sony. El número de muestras nuevas ha crecido de forma dinámica desde 2010. Esto caracteriza al Grupo Lazarus como un actor de amenazas estable y antiguo. Con base en los metadatos extraídos de las muestras investigadas, la mayor parte de los programas maliciosos utilizados por el Grupo Lazarus parecen haber sido compilados durante las horas de trabajo de las zonas horarias del tiempo medio de Greenwich +8 – +9.

the targets of the lazarus group

“Tal como lo predijimos, el número de ataques tipo wiper crece de manera constante. Este tipo de malware resulta ser un arma cibernética muy eficaz. El poder para borrar miles de computadoras con sólo oprimir un botón representa una recompensa significativa para un equipo de Explotación de Red Informática cuya tarea es la desinformación e interrupción de una empresa objetivo. Su valor como parte de la guerra híbrida, donde los ataques de borrado se suman a los ataques cinéticos para paralizar la infraestructura de un país, sigue siendo un experimento interesante más cercano de la realidad de lo que nos podría gustar. Junto con nuestros socios de la industria, tenemos el orgullo de haber hecho mella en las operaciones de un actor sin escrúpulos dispuesto a aprovechar estas técnicas devastadoras”, dijo Juan Guerrero, Investigador Sénior de Seguridad en Kaspersky Lab.

“Este actor tiene la determinación y las habilidades necesarias para realizar operaciones de ciberespionaje con el objetivo de robar datos o causar daños. Esto, combinado con el uso de técnicas de desinformación y engaño, ha permitido a los atacantes lanzar con éxito varias operaciones en los últimos años “, dijo Jaime Blasco, jefe científico, AlienVault. “La Operación Blockbuster es un ejemplo de cómo el intercambio de información y colaboración de miembros de toda la industria pueden poner el listón más alto y evitar que este actor continúe sus operaciones”.

“A través de la Operación Blockbuster, Novetta, Kaspersky Lab y nuestros socios trabajan de manera incesante para establecer una metodología para interrumpir las operaciones de los grupos de ataque de importancia mundial, y tratar de mermar sus esfuerzos para infligir un daño mayor”, dijo Andre Ludwig, Director Técnico Senior de Novetta Threat Research and Interdiction Group. “El nivel de análisis técnico detallado llevado a cabo en la Operación Blockbuster es raro, y compartir nuestros hallazgos con socios de la industria, para que todos nos beneficiemos de una mayor comprensión, es aún más raro”.

Para obtener más información sobre los hallazgos de Novetta acerca del Grupo Lazarus, visite: www.OperationBlockbuster.com