Los expertos del Equipo de Investigación y Análisis de Kaspersky (GReAT) han descubierto una campaña dirigida a distribuir Milum, un troyano que obtiene el control remoto de dispositivos de distintas organizaciones, incluidas las del sector industrial, y a la cual se ha denominado ya como WildPressure.
Las amenazas persistentes avanzadas (o APT) suelen asociarse a ciberataques muy sofisticados. Con frecuencia, el atacante obtiene secretamente acceso a un sistema para robar información o interrumpir su funcionamiento normal. Según señala el investigador principal de seguridad de Kaspersky, Denis Legezo:
Que el sector industrial sea atacado es siempre una preocupación. Los analistas deben prestar atención porque las consecuencias de un ataque contra un objetivo industrial pueden ser devastadoras. Hasta ahora, no hemos visto ninguna pista que apoye la idea de que las intenciones de los atacantes de WildPressure vayan más allá de reunir información de las redes atacadas”.
Ahondando un poco más en las capacidades de este troyano, nos encontramos con una vulnerabilidad que otorga a los atacantes la posibilidad de:
- Descargar y ejecutar comandos en el ordenador afectado.
- Recopilar información variada del dispositivo atacado y enviarlas al servidor de comando y control.
- Actualizarse a sí mismo a una versión más reciente.
- Borrarse a si mismo para ocultar su presencia.
Basándose en la telemetría disponible, los investigadores de Kaspersky creen que por el momento la mayoría de los objetivos de esta campaña se encuentran en Oriente Medio, aunque la fácil propagación y la gran afección de seguridad que implica, han hecho saltar las alarmas de cara al resto de continentes. Y es que desafortunadamente todavía se desconoce mucho sobre esta campaña de infección telemática, incluyendo el mecanismo exacto utilizado para propagación del troyano Milum.
Para evitar convertirse en víctima de un ataque dirigido, los expertos de Kaspersky recomiendan lo siguiente:
- Actualizar regularmente todo el software de la organización, especialmente cuando se publique un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches ayudan a automatizar estos procesos.
- Implementar una solución de seguridad probada como Kaspersky Endpoint Security, equipada con capacidades de detección basadas en el comportamiento para una protección efectiva contra
amenazas conocidas y desconocidas, incluyendo exploits. - Además de adoptar una protección para el endpoint, implementar una solución de seguridad corporativa que detecte amenazas avanzadas en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
- Asegurarse de que sus empleados tengan y entiendan una formación básica de ciberseguridad, ya que muchos ataques dirigidos empiezan con phishing u otras técnicas.
- Asegurarse de que su equipo de seguridad tenga acceso a la información más reciente sobre ciberamenazas. Los clientes de Kaspersky APT Intelligence Reporting tienen a su disposición informes privados sobre los últimos desarrollos en el panorama de las amenazas.
