Antivirus ESET Descubre Atacantes Que Explotaron La Reciente Vulnerabilidad De Día Cero Del Sistema Operativo Windows Para Realizar Ciberespionaje

2023 Autor: Kayla Nelson | [email protected]. Última modificación: 2023-05-24 12:02

Los creadores del popular software antivirus y de seguridad digital ESET han descubierto a los atacantes que explotaron la reciente vulnerabilidad de día cero del sistema operativo Windows. Se cree que el grupo de piratas informáticos detrás del ataque está realizando ciberespionaje. Curiosamente, este no es un objetivo o metodología típica del grupo que se conoce con el nombre de "Buhtrap" y, por lo tanto, el exploit indica claramente que el grupo puede haber pivotado.

El fabricante de antivirus eslovaco ESET ha confirmado que el grupo de piratas informáticos conocido como Buhtrap está detrás de la reciente vulnerabilidad de día cero del sistema operativo Windows que fue explotada en la naturaleza. El descubrimiento es bastante interesante y preocupante porque las actividades del grupo se vieron severamente restringidas hace unos años cuando su base de código de software central se filtró en línea. Según los informes, el ataque utilizó una vulnerabilidad de día cero del sistema operativo Windows recién reparada para realizar ciberespionaje. Sin duda, esto es un nuevo desarrollo preocupante principalmente porque Buhtrap nunca mostró interés en extraer información. Las principales actividades del grupo consistían en robar dinero. Cuando era muy activo, los principales objetivos de Buhtrap eran las instituciones financieras y sus servidores. El grupo utilizó su propio software y códigos para comprometer la seguridad de los bancos o sus clientes para robar dinero.

Por cierto, Microsoft acaba de publicar un parche para bloquear la vulnerabilidad del sistema operativo Windows de día cero. La compañía había identificado el error y lo había etiquetado como CVE-2019-1132. El parche era parte del paquete Patch Tuesday de julio de 2019.

Buhtrap gira hacia el ciberespionaje:

Los desarrolladores de ESET han confirmado la participación de Buhtrap. Además, el fabricante de antivirus incluso agregó que el grupo estaba involucrado en la realización de ciberespionaje. Esto va completamente en contra de las hazañas anteriores de Buhtrap. Por cierto, ESET está al tanto de las últimas actividades del grupo, pero no ha divulgado los objetivos del grupo.

Curiosamente, varias agencias de seguridad han indicado repetidamente que Buhtrap no es un equipo de piratas informáticos patrocinado por el estado. Los investigadores de seguridad confían en que el grupo opera principalmente desde Rusia. A menudo se compara con otros grupos de piratería enfocados como Turla, Fancy Bears, APT33 y Equation Group. Sin embargo, hay una diferencia crucial entre Buhtrap y otros. El grupo rara vez sale a la superficie o se responsabiliza de sus ataques abiertamente. Además, sus objetivos principales siempre han sido las instituciones financieras y el grupo buscó dinero en lugar de información.

El grupo Buhtrap utiliza el día cero en las últimas campañas de espionaje: una investigación de ESET revela que un grupo criminal notorio también ha realizado campañas de espionaje durante los últimos cinco años. mvCyy424cg pic.twitter.com/9OJ6nXZ1sT

- Shah Sheikh (@shah_sheikh) 11 de julio de 2019

Buhtrap apareció por primera vez en 2014. El grupo se dio a conocer después de perseguir a muchas empresas rusas. Estos negocios eran de tamaño bastante pequeño y, por lo tanto, los atracos no ofrecieron muchos beneficios lucrativos. Aún así, obteniendo éxito, el grupo comenzó a apuntar a instituciones financieras más grandes. Buhtrap comenzó a perseguir bancos rusos relativamente bien protegidos y asegurados digitalmente. El informe de Group-IB indica que el grupo Buhtrap logró salirse con la suya con más de $ 25 millones. En total, el grupo allanó con éxito alrededor de 13 bancos rusos, afirmó la compañía de seguridad Symantec. Curiosamente, la mayoría de los atracos digitales se ejecutaron con éxito entre agosto de 2015 y febrero de 2016. En otras palabras, Buhtrap logró explotar unos dos bancos rusos por mes.

Las actividades del grupo Buhtrap cesaron repentinamente después de que apareciera en línea su propia puerta trasera Buhtrap, una combinación ingeniosamente desarrollada de herramientas de software. Los informes indican que algunos miembros del propio grupo podrían haber filtrado el software. Si bien las actividades del grupo se detuvieron abruptamente, el acceso al poderoso conjunto de herramientas de software permitió que florecieran varios grupos de piratería menores. Usando el software ya perfeccionado, muchos grupos pequeños comenzaron a realizar sus ataques. La principal desventaja fue la gran cantidad de ataques que se llevaron a cabo utilizando la puerta trasera de Buhtrap.

Desde la filtración de la puerta trasera de Buhtrap, el grupo pivotó activamente para realizar ciberataques con una intención completamente diferente. Sin embargo, los investigadores de ESET afirman que han visto las tácticas de cambio de grupo desde diciembre de 2015. Aparentemente, el grupo comenzó a apuntar a agencias e instituciones gubernamentales, señaló ESET, “Siempre es difícil atribuir una campaña a un actor en particular cuando la fuente de sus herramientas El código está disponible gratuitamente en la web. Sin embargo, dado que el cambio en los objetivos se produjo antes de la filtración del código fuente, evaluamos con gran confianza que las mismas personas detrás de los primeros ataques de malware Buhtrap contra empresas y bancos también están involucradas en la selección de instituciones gubernamentales ".

Buhtrap seguro que tiene una evolución extraña…. desde robar $ 25 millones de bancos rusos… hasta llevar a cabo operaciones de ciberespionaje. ¿Es este el efecto bogachev? pic.twitter.com/nuQ7ZKPU1Y

- Catalin Cimpanu (@campuscodi) 11 de julio de 2019

Los investigadores de ESET pudieron reclamar la mano de Buhtrap en estos ataques porque pudieron identificar patrones y descubrieron varias similitudes en la forma en que se llevaron a cabo los ataques. "Aunque se han agregado nuevas herramientas a su arsenal y se han aplicado actualizaciones a las más antiguas, las Tácticas, Técnicas y Procedimientos (TTP) utilizados en las diferentes campañas de Buhtrap no han cambiado drásticamente durante todos estos años".

¿Buhtrap utiliza la vulnerabilidad de día cero del sistema operativo Windows que podría comprarse en la Dark Web?

Es interesante notar que el grupo Buhtrap usó una vulnerabilidad dentro del sistema operativo Windows que era bastante reciente. En otras palabras, el grupo implementó una falla de seguridad que generalmente se etiqueta como "día cero". Por lo general, estos defectos no se corrigen y no se encuentran fácilmente disponibles. Por cierto, el grupo ha utilizado vulnerabilidades de seguridad en el sistema operativo Windows antes. Sin embargo, por lo general se han basado en otros grupos de piratas informáticos. Además, la mayoría de los exploits tenían parches emitidos por Microsoft. Es muy probable que el grupo haya realizado búsquedas en busca de máquinas Windows sin parche para infiltrarse.

Esta es la primera instancia conocida en la que los operadores de Buhtrap utilizaron una vulnerabilidad sin parchear. En otras palabras, el grupo utilizó una verdadera vulnerabilidad de día cero dentro del sistema operativo Windows. Dado que el grupo obviamente carecía de las habilidades necesarias para descubrir las fallas de seguridad, los investigadores creen firmemente que el grupo pudo haber comprado lo mismo. Costin Raiu, quien dirige el Equipo de Análisis e Investigación Global de Kaspersky, cree que la vulnerabilidad de día cero es esencialmente una falla de "elevación de privilegios" vendida por un corredor de exploits conocido como Volodya. Este grupo tiene historia vendiendo exploits de día cero tanto a grupos de ciberdelitos como de estados-nación.

Buhtrap #Malware con patrón típico (y tamaño) de ejecutable codificado en base64 incrustado en el archivo doc.https://t.co/SOt3XtZ8KH pic.twitter.com/dYBSMLFLx6

- marc ochsenmeier (@ochsenmeier) 11 de julio de 2019

Hay rumores que afirman que el giro de Buhtrap hacia el ciberespionaje podría haber sido gestionado por la inteligencia rusa. Aunque sin fundamento, la teoría podría ser precisa. Es posible que el servicio de inteligencia ruso reclutó a Buhtrap para espiarlos. El pivote podría ser parte de un acuerdo para perdonar las transgresiones pasadas del grupo en lugar de datos confidenciales corporativos o gubernamentales. Se cree que el departamento de inteligencia de Rusia ha orquestado a tan gran escala a través de grupos de piratería de terceros en el pasado. Los investigadores de seguridad han afirmado que Rusia recluta de manera regular pero informal a personas talentosas para intentar penetrar la seguridad de otros países.

Curiosamente, en 2015, se creía que Buhtrap había estado involucrado en operaciones de ciberespionaje contra gobiernos. Los gobiernos de Europa del Este y los países de Asia Central han afirmado habitualmente que los piratas informáticos rusos han intentado penetrar su seguridad en varias ocasiones.