Lazarus es uno de los grupos de hackers más conocidos a nivel mundial debido a sus ataques cibernéticos ejecutados con el único objetivo de estafar. Es una de las redes más potentes de hackers que ha llegado a estafar la sorprendente cifra de 570 millones de dólares en cambios de criptomonedas.
Sus ataques son provocados a nivel mundial y desde cualquier espacio que podamos imaginar mientras estemos conectados a la red de Internet.
Uno de los más conocidos fue la operación que llevaron a cabo llamada “Operación AppleJeus” en la que infiltraron un malware a través de Telegram en distintos países. Las víctimas estaban distribuidas a través de Reino Unido, Polonia, Rusia y China y todas ellas estaban vinculadas a redes de criptomonedas. Hoy en día sus amenazas continúan de forma reiterada y cada vez intentan infectar terrenos mucho más complejos.
La actualidad de Lazarus: la industria de la Defensa
Parece que la actividad de Lazarus es imparable y, poco a poco, tratan de alcanzar sectores o campos mucho más sensibles.
Según investigaciones llevadas a cabo por la compañía de soporte antivirus Kaspersky, desde el año 2020 Lazarus se ha organizado para amenazar la industria de la Defensa. Desde Kaspersky fueron conscientes de los hechos que se estaban llevando a cabo tras haber dado soporte con su programa antivirus a una compañía del sector. El ataque de este malware fue bautizado como “ThreatNeedle”. Este software viaja por las redes de los dispositivos para extraer información confidencial muy sensible de los doce países infectados.
Lazarus, en esta ocasión, inicia su despliegue de malwares a través de un correo electrónico que llega a cada uno de los ordenadores de la compañía. Infiltraba este potente virus haciéndose pasar por un reconocido centro médico para difundir un documento con falsas actualizaciones de carácter urgente relacionadas con la crisis del coronavirus. Una vez abierto este dañino documento, el malware se descarga y empieza a tomar el control de todo el dispositivo. Las consecuencias que llega a tener son irreparables, ya que toma el control por completo del sistema, pudiendo llegar a manipular cualquier documento o ejecutar comandos.
La capacidad de este sistema para robar información en estas oficinas fue muy rápida y llegó a conectarse a las todas las redes de las que disponía la empresa. Por una parte, accedió a las redes de ordenadores con acceso a Internet, es decir, las redes TI de las oficinas. Por otro lado, llegó a conectarse la red restringida de acceso a internet de cada planta de la compañía, en la que se almacenaba toda la información detallada sobre misiones críticas de defensa y datos sensibles.
Lazarus consiguió tener el control de estas dos redes de trabajo y crear una vía con la que extraer todos los datos confidenciales. Este hecho ha provocado que expertos en ciberseguridad consideren este ataque como uno de los más sofisticados que se han producido. Vyacheslav Kopeytsev, experto en seguridad de Kaspersky ICS CERT, destacó en su investigación acerca del ataque de Lazarus que ” no sólo es muy prolífico, sino también muy sofisticado. No sólo fueron capaces de superar la segmentación de la red, sino que investigaron a fondo para crear correos electrónicos de spear phishing muy personalizados y eficaces, además de construir herramientas personalizadas para extraer la información robada a un servidor remoto. Dado que las organizaciones siguen trabajando a distancia y, por tanto, son más vulnerables, es importante que tomen precauciones de seguridad adicionales para protegerse de este tipo de ataques avanzados”
¿Cómo protegerse de estos ataques?
La compañía experta en ciberseguridad de antivirus Kaspersky, tiene una experiencia de más de 20 años en el sector protegiendo a sus usuarios de las amenazas y actualizando cada año su sistema para asegurar la protección. Desde Kaspersky, tras investigar a cerca de Lazarus y su ataque al sistema de Defensa, han proporcionado varios consejos a tener en cuenta para las empresas de gran tamaño que puedan verse o no amenazadas:
- Formación básica para empleados: para trabajar en una empresa que está en el punto de mira de cualquier hacker, es muy importante que los empleados tengan conocimientos de ciberseguridad. De este modo, los trabajadores mantendrán su ordenador limpio de amenazas y podrán evitar recibir ataques que vayan dirigidos a sus equipos para que caigan en su trampa como, por ejemplo, phishing u otras técnicas de ingeniería social.
- Separar las redes: si una empresa tiene su propia interfaz de trabajo y funciona a través de este sistema independiente a la red de Internet, es de vital seguridad que estas dos permanezcan separadas y se aseguren que no haya dentro de ellas conexiones no autorizadas.
- Cumplir con las políticas de ciberseguridad: es muy necesario que los empleados conozcan estas políticas para asegurarse de que las cumplen.
- Sistema inteligente para los equipos de trabajo: proporcionar un sistema de inteligencia para buscar amenazas, en concreto, los creadores de esta investigación recomiendan un sistema programado por ellos Kaspersky Threat Intelligence Portal. Este software es un punto de acceso único dentro de compañía, que proporciona datos de ciberataques y previsiones recopiladas durante más de 20 años.
- Detectores de ataques cibernéticos: instalar un sistema de seguridad que ofrezca soporte a los equipos de la empresa y detecte las amenazas avanzadas a nivel de red en una fase temprana. Uno de los programas más avanzados del mercado es Kaspersky Anti Targeted Attack Platform, disponible para instalar en cualquier ordenador y muy recomendable para la seguridad de la empresa
- Supervisiones de red: otro de los programas que recomiendan instalar, es una solución para nodos y redes industriales que permite a la empresa la supervisión del tráfico de la red, análisis de amenazas y la detección de estas. Kaspersky Industrial CyberSecurity cumple con todos estos requisitos.