Diez años después, vuelven los ciberataques de Careto con nuevas técnicas maliciosas
Escrito por Jose de Jesus Prieto on 13/06/2024
Según Kaspersky, entre las víctimas objetivo en este último ataque se encuentra una
organización ubicada en América Latina, la cual ya había sido comprometida en
varios ataques anteriores
13 de junio de 2024
Los analistas de Kaspersky han descubierto dos nuevas campañas maliciosas
llevadas a cabo por el conocido grupo Careto, una amenaza persistente avanzada
(APT) que había aparecido por última vez en 2013. Demostrando un alto nivel de
sofisticación, los actores llevaron a cabo dos complejas campañas de ciberespionaje
utilizando una estructura multimodal que permite la grabación de la entrada del
micrófono, el robo de una amplia gama de archivos y datos, así como la obtención del
control general de un dispositivo infectado. Las campañas se dirigieron a
organizaciones de América Latina y África Central.
Careto, un grupo de amenazas persistentes avanzadas (APT), es conocido por sus
sofisticados ataques a organizaciones gubernamentales, entidades diplomáticas,
empresas de energía e instituciones de investigación. La actividad de este grupo se
registró entre 2007 y 2013, y desde entonces ha permanecido en silencio. Sin
embargo, el último informe trimestral de Kaspersky sobre tendencias APT revela
detalles sobre las recientes campañas maliciosas llevadas a cabo por el grupo Careto,
que indican el regreso de su actividad cibercriminal.
El vector de infección inicial comprometido fue el servidor de correo electrónico de la
organización, que utilizaba el software MDaemon. Este servidor estaba infectado con
un backdoor independiente, que daba al atacante el control total de la red. Para
propagarse por la red interna, el grupo aprovechó una vulnerabilidad no identificada
en una solución de seguridad, lo que permitió distribuir implantes maliciosos en varios
equipos. El atacante desplegó cuatro implantes sofisticados y multimodelos,
diseñados por profesionales especializados para maximizar su impacto.
Este malware multimodal incluye funciones como grabación de micrófonos y robo
de archivos, con el objetivo de recopilar información del sistema, nombres de
usuario, contraseñas, rutas de directorios locales y más. Los operadores mostraron un
interés particular en documentos confidenciales de la organización, cookies,
historiales de formularios y datos de inicio de sesión de navegadores como Edge,
Chrome, Firefox y Opera, así como cookies de apps de mensajería como Threema,
WeChat y WhatsApp.
Según Kaspersky, las víctimas objetivo de los implantes de Careto en este último
ataque pertenecen a una organización ubicada en América Latina, la cual ya había
sido comprometida en ataques anteriores en 2022, 2019 y hace 10 años, y una
organización en África Central.
“A lo largo de los años, Careto ha ido desarrollando malware que demuestra un nivel
de complejidad notablemente alto. Los implantes recién descubiertos son estructuras
multimodales, con tácticas y técnicas de implementación únicas y sofisticadas. Su
presencia indica la naturaleza avanzada de las operaciones de Careto. Seguiremos
vigilando de cerca las actividades de este actor de amenazas, ya que esperamos que
el malware descubierto se utilice en futuros ataques llevados a cabo por el grupo
Careto", afirma Georgy Kucherin, investigador de seguridad del GReAT de
Kaspersky.
Para evitar ser víctima de un ataque dirigido, los analistas de Kaspersky recomiendan:
● Proporcionar al equipo SOC acceso a la inteligencia sobre amenazas (TI) más
reciente. El Portal de Inteligencia sobre Amenazas de Kaspersky es un punto
de acceso único para el departamento de TI de la empresa, que proporciona
datos y conocimientos sobre ciberataques recopilados por Kaspersky a lo largo
de más de 20 años.
● Capacitar al equipo de ciberseguridad para hacer frente a las últimas
amenazas dirigidas con la formación online de Kaspersky, desarrollada por
expertos de GReAT.
● Para la detección, investigación y reparación oportunas de incidentes en puntos
finales, es importante usar soluciones EDR como Kaspersky NEXT.
● Además de adoptar la protección esencial de endpoints, se puede utilizar una
solución de seguridad a nivel empresarial que detecte amenazas avanzadas a
nivel de red en una fase temprana, como Kaspersky Anti Targeted Attack
Platform.
Los analistas de Kaspersky descubren continuamente nuevas herramientas, técnicas
y campañas lanzadas por grupos APT en ciberataques en todo el mundo. Los
expertos de la compañía monitorizan más de 900 operaciones y grupos, el 90% de los
cuales están relacionados con el espionaje. La campaña Careto se detalla en el último
“Informe de tendencias APT Q1” de Kaspersky. Para obtener más información sobre
otras campañas avanzadas, visita Securelist.
En la próxima conferencia de Virus Bulletin se revelarán más detalles sobre el regreso
del grupo Careto.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997.
Con más de mil millones dispositivos protegidos hasta la fecha contra ciberamenazas
emergentes y ataques dirigidos, la profunda experiencia en inteligencia de amenazas y
seguridad de Kaspersky se está continuamente transformando en innovadoras soluciones y
servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y
consumidores en todo el mundo. El extenso portafolio de productos de seguridad de la
empresa incluye su reputada solución de protección para endpoints, junto con una serie de
soluciones y servicios de seguridad especializados, así como soluciones Cyber Immune para
combatir las sofisticadas y cambiantes amenazas digitales. Ayudamos a más de 220.000
clientes corporativos a proteger lo que más valoran. Obtenga más información en
https://latam.kaspersky.com
Kaspersky en redes sociales:
X: @KasperskyLatino IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam IN: Kaspersky Lab Latinoamérica