Home Quienes somos Contactar Franquicias de informatica
Español English
facebook twitter google+ youtube Pinterest rss
Home > General

Check Point Research ha detectado un ciberataque impulsado por hackers chinos con temática sobre el Coronavirus

Publicado el 19/03/2020

Check Point Software Technologies Ltd es el proveedor líder especializado en ciberseguridad a nivel mundial y cuenta con una división de inteligencia de Amenazas, Check Point Research, que ha sido la que ha descubierto un ciberataque organizado por un grupo APT chino contra el Ministerio de Asuntos Exteriores de Mongolia.

check point

La compañía ha detectado que este grupo, que se ha aprovechado de la alerta general y el flujo de noticias en torno a la expansión del Coronavirus, suplantó la identidad del Ministerio de Relaciones Exteriores de Mongolia y estuvo enviando documentos adjuntos maliciosos desde los correos electrónicos de los funcionarios de ese país. Utilizaban mensajes centrados en la situación actual del coronavirus, con el objetivo de persuadirles, y que dieran acceso remoto a la red para dejar la puerta abierta al robo de información confidencial.

Los expertos de la compañía señalan que uno de los dos documentos se titulaba “Sobre la propagación de nuevas infecciones de Coronavirus” y que citaba al Comité Nacional de Salud de China. Esta división pudo rastrear el ciberataque y descubrir la autoría gracias a la extracción de huellas dactilares que dejaron en el propio código del malware los hackers que estaba almacenado en sus servidores, y que durante unos segundos estuvieron al descubierto en internet. Los investigadores pudieron descubrir el origen de la cadena, gracias a estos datos, concluyendo que el grupo chino estuvo operando desde 2016 y su objetivo son diversas entidades públicas y empresas de telecomunicaciones de: Rusia, Bielorrusia, Ucrania y Mongolia.


¿Cómo han realizado la campaña masiva?

Los cibercriminales infectaban los archivos adjuntos con RoyalRoad, un virus conocido que descarga un archivo en la carpeta de inicio de Word para ejecutar una técnica de persistencia, que se dedica a que cada vez que inicias la aplicación, comienza una cadena de infección de todos los archivos con extensión WLL De forma que, da igual que archivo se abra con Word, ya que se produce la descarga del malware que infecta el equipo del usuario y le da acceso a robar grandes cantidades de información sensible.

El cibercriminal operaba el servidor C&C dentro de una ventana diaria limitada, solo estaba en línea pocas horas cada día, por lo que era difícil analizar y acceder a las partes avanzadas de la cadena de infección. Esto pone en manifiesto como se aprovechan temáticas variadas para lanzar campañas masivas de ciberataques. La compañía ha registrado más de 4.000 dominios relacionados con el Coronavirus y son un 50% más maliciosos que la media.

Lotem Finkelsteen, Jefe de Inteligencia de Amenazas de Check Point afirma que el COVID 19 no solo representa una amenaza física, sino también una ciberamenaza. Esta investigación que han llevado a cabo pone de manifiesto que el grupo chino de APT aprovechó el interés de las personas por el coronavirus para su propio beneficio, por lo que decidieron utilizarlo para la cadena de infecciones informáticas. También, comenta que, han descubierto que este grupo no solo ha estado atacando a Mongolia, sino a otros países del mundo. Añade que todas las empresas de telecomunicaciones o públicas deberían proteger sus documentos y webs relacionadas con el coronavirus.


¿Cuáles son las claves para estar protegidos?

Desde Check Point advierten que, aunque el objetivo de este grupo de cibercriminales eran funcionarios de instituciones públicas, cualquier persona puede convertirse en la nueva victima del ataque informático. La compañía señala que la prevención es la mejor medida de seguridad para combatir las ciberamenazas. Evitar descargar archivos adjuntos ni pinchar en enlaces, así como desconfiar de los mensajes que vengan de remitentes desconocidos, ayudará a proteger la información y, en gran parte, reducirá la posibilidad de convertirse en víctima de estos cibercriminales.

Los expertos de la compañía aconsejan implementar herramientas de ciberseguridad en los dispositivos para evitar riesgos. Check Point cuenta con SandBlast Mobile, solución contra amenazas móviles avanzadas con infraestructura On-device Network Protection. SandBlast Mobile revisa y controla todo el tráfico de red del dispositivo por lo que evita ataques de robo de información en el correo electrónico, las aplicaciones, iMessage, SMS y las apps de mensajería instantánea. Además evita, tanto el acceso a sitios web maliciosos como el acceso y comunicación del dispositivo con botnets, validando el tráfico en el propio dispositivo sin enrutar los datos a través de un Gateway corporativo.
 

Volver