Cibercriminales rusos apuntan a DropBox y Google Drive, en una nueva campaña

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Piratas informáticos rusos están aprovechando los servicios en la nube de confianza, incluidos DropBox y Google Drive, para enviar malware a empresas y gobiernos, según una nueva investigación.

Ursula, alias APT29 o Cozy Bear, vinculada al gobierno ruso, utiliza cada vez más los servicios de almacenamiento en línea más populares porque dificultan la detección y prevención de los ataques, escribieron los investigadores de la Unidad 42 de Palo Alto Networks en un informe.

Se cree que los ataques se dirigieron a varias misiones diplomáticas occidentales y embajadas extranjeras entre mayo y junio de 2022, y las recientes campañas se enmascararon como una agenda para una próxima reunión con un embajador. Pero los documentos de phishing contenían un enlace a un archivo HTML malicioso que servía como dropper para otros archivos maliciosos en la red de destino, incluyendo una carga útil de Cobalt Strike.

Palo Alto Networks reveló la actividad a Google y DropBox, que han tomado medidas para bloquearla. Sin embargo, los investigadores de Unit 42 han advertido a las organizaciones y a los gobiernos que estén en alerta máxima. “A la luz de las nuevas tácticas de APT 29, las organizaciones deberían preocuparse por sus capacidades para identificar, inspeccionar y detener el tráfico no deseado hacia proveedores legítimos de almacenamiento en la nube”.

Cozy Bear ha utilizado previamente servicios legítimos en la nube para entregar malware, pero las dos campañas más recientes aprovecharon los servicios de almacenamiento en la nube de Google Drive por primera vez. “La naturaleza omnipresente de los servicios de almacenamiento en la nube de Google Drive -combinada con la confianza que tienen en ellos millones de clientes en todo el mundo- hace que su inclusión en el proceso de entrega de malware de esta APT sea excepcionalmente preocupante”, dijeron los investigadores.

Cuando el uso de servicios en la nube de confianza se combina con el cifrado, se hace “extremadamente difícil” para las organizaciones detectar la actividad maliciosa, advirtieron.

El ataque es “poco sorprendente”, dado que este tipo de servicios son utilizados por un gran número de organizaciones, dijo el investigador de seguridad independiente Sean Wright. “Hace que sea difícil distinguir lo que es legítimo y lo que es potencialmente malicioso, por lo que desde la perspectiva de un atacante, esta es una herramienta increíblemente poderosa para ocultar su contenido y acciones maliciosas”.

Para ayudar a reducir el riesgo, Wright recomienda a las organizaciones elegir un único servicio. Además, Wright aconseja a las empresas que se aseguren de utilizar las versiones empresariales o de negocios. “Estas suelen venir con controles adicionales que pueden ayudar a reducir la probabilidad de ataques o ayudar a ganar visibilidad extra para, con suerte, atraparlos en acción”.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *