Ciberseguridad – ACTIVIDAD DEL GRUPO CIBERCRIMINAL APT41

Recientemente el Departamento de Justicia de Estados Unidos (EE.UU., por sus siglas en inglés). Anunció que cinco ciudadanos de origen chino están detrás de ataques a más de 100 empresas, algunos de las cuales se atribuyen al grupo de cibercriminales APT41.

SERVICIOS AFECTADOS:

• Citrix Application Delivery Controller, Citrix Gateway, Pulse Secure VPN, multiples productos D-Link y Zoho ManageEngine Desktop Central.

DETALLES TÉCNICOS:

APT41 es uno de los grupos de cibercriminales más antiguos, conocidos principalmente por operaciones de ciberespionaje contra empresas desarrolladoras de software, empresas de juego, fabricantes de hardware, empresas de telecomunicaciones, redes sociales, universidades o gobiernos.

Se tiene registrado actividad de este grupo desde el año 2012, en ese año se le conocía como Winnti, actualmente se le conoce como APT41, Barium, Wicked Panda o Spider.

Dos miembros de los presuntos miembros de APT41, fueron acusados en agosto del año 2019, los cuales se relacionaban con otros tres miembros de este mismo grupo que fueron acusado en julio de 2019. Tres de los 5 cibercriminales han trabajado juntos al menos desde el 2013. Para realizar sus ataques usaron una empresa llamada Chengdu 404 Network Technology como fachada.

Se ha observado que estos atacantes han robado código fuente, certificados de firma de código de software, datos de cuentas personales de víctimas y ejecutados ataques sofisticados.

La empresa usada por los atacantes se promocionaba como una empresa de seguridad de red, los cuales tenían clientes en el sector militar y seguridad pública.

Según el Departamento de Justicia los empleados de Chengdu 404, han realizado actividad delictiva en contra de más de 100 empresas en todo el mundo.

En lo que va del 2020 tres de los cinco ciberdelincuentes han realizado ataques de ransomware contra una organización no gubernamental global, una empresa inmobiliaria en los EE. UU. y una empresa de energía en Taiwán.

Los ataques de ransomware, junto con los de criptojacking, se realizan con la intención de obtener beneficios económicos.

APT41 utiliza herramientas personalizadas y de código abierto para comprometer a sus víctimas y moverse lateralmente a través de la red. También se aprovechan de vulnerabilidades graves para el compromiso inicial.

Las vulnerabilidades son: CVE-2020-10189, CVE-2019-11510, CVE-2019-16278, CVE-2019-1652, CVE-2019-1653, CVE-2019-16920 y CVE-2019-19781. La mayoría de estas vulnerabilidades permiten ejecución de código de manera remota.

Para el personal de seguridad de información:

• Utilizar una política de uso de contraseñas seguras considerando la complejidad, el cambio de credenciales por defecto y la no reutilización de las mismas.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada.

Fuente: http://securitysummitperu.com/articulos/actividad-del-grupo-cibercriminal-apt41/?s=09