FBI advierte sobre ataques en curso contra empresas de la cadena de suministro de software program


FBI

Imagen: FBI, ZDNet, Florian Krumm

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

El FBI ha enviado una alerta de seguridad al sector privado de EE. UU. Sobre una campaña de piratería en curso que apunta a los proveedores de application de la cadena de suministro, según descubrió ZDNet.

El FBI dice que los piratas informáticos están intentando infectar a las empresas con el malware Kwampirs, un troyano de acceso remoto (RAT).

«Se cree que las empresas de la cadena de suministro de software program están dirigidas para obtener acceso a los socios estratégicos y / o clientes de la víctima, incluidas las entidades que apoyan los Sistemas de Manage Industrial (ICS) para la generación, transmisión y distribución de energía a nivel mundial», dijo el FBI en un comunicado. notificación de la industria privada enviada la semana pasada.

Además de los ataques contra los proveedores de software de la cadena de suministro, el FBI dijo que el mismo malware también se implementó en ataques contra empresas en los sectores de salud, energía y financiero.

La alerta no identificó a los proveedores de software program seleccionados ni a ninguna otra víctima.

En cambio, el FBI compartió los COI (indicadores de compromiso) y las reglas de YARA para que las organizaciones puedan escanear las redes internas en busca de signos de la RAT de Kwampirs utilizada en los recientes ataques.

Malware Kwampirs

El malware Kwampirs fue primero descrito en un informe publicado por la firma estadounidense de seguridad cibernética Symantec en abril de 2018.

En ese momento, Symantec dijo que un grupo con nombre en código Orangeworm había utilizado el malware Kwampirs para atacar de manera comparable a las empresas de la cadena de suministro que proporcionaban application para el sector de la salud.

Symantec dijo que Orangeworm había estado en funcionamiento desde 2015 y se centraba principalmente en la industria de la salud.

«Los objetivos secundarios de Orangeworm incluyen fabricación, tecnología de la información, agricultura y logística», dijo Symantec en ese momento. «Si bien puede parecer que estas industrias no están relacionadas, descubrimos que tienen múltiples vínculos con la atención médica, como los grandes fabricantes que producen dispositivos de imágenes médicas que se venden directamente en empresas de atención médica, organizaciones de TI que brindan servicios de apoyo a clínicas médicas y organizaciones logísticas que ofrecen productos para el cuidado de la salud.»

UN Informe Lab52 publicado un año después, en abril de 2019, confirmó los hallazgos de Symantec y el enfoque del grupo en la industria de la salud.

Parece que nuevos ataques apuntan al sector energético de ICS

Sin embargo, la alerta del FBI enviada la semana pasada advierte específicamente que los ataques que emplean a Kwampirs ahora han evolucionado para atacar a compañías en el sector de ICS (Sistemas de Manage Industrial), y especialmente en el sector de energía.

En 2018 y 2019, ni Symantec ni Lab52 hicieron ninguna atribución al país de origen del grupo.

Sin embargo, el FBI afirma que la nueva evidencia del análisis del código sugiere que Kwampirs contiene «numerosas similitudes» con Shamoon, un infame malware de borrado de datos desarrollado por APT33, un grupo de piratería vinculado a Irán.

«Si bien no se ha observado que el Kwampirs RAT incorpore un componente de limpiaparabrisas, el análisis forense comparativo ha revelado que el Kwampirs RAT tiene numerosas similitudes con el malware de destrucción de datos Disttrack (comúnmente conocido como Shamoon)», dijo el FBI.

El malware Shamoon se ha utilizado en múltiples ataques de borrado de datos contra empresas del sector energético y, más específicamente, en los campos de petróleo y fuel (1, 23)

El FBI instó a las empresas a escanear redes para detectar signos de Kwampirs y reportar cualquier infección.



Enlace a la noticia authentic