Ni siquiera quienes se encargan de velar por los datos de los demás están protegidos de los ciberdelincuentes.
Investigadores de la firma de seguridad ESET han revelado cómo una empresa de prevención de pérdida de datos (DLP) de Asia Orientan vio como su información sensible quedaba comprometida.
La cartera de clientes de DLP incluye entidades gubernamentales y militares, convirtiendo a la compañía en un objetivo bastante atractivo para los cibermalos.
Durante la intrusión los atacantes se sirvieron de al menos tres familias de malware, comprometiendo tanto los servidores de actualización internos como las herramientas de terceros usadas por la compañía. Esto habría ocasionado que dos clientes de la compañía se vieran comprometidos a posteriori.
ESET tiene claro quién es el autor de este acceso no autorizado. Apunta sin lugar a dudas al grupo de amenazas persistentes Tick. Según su perfil, se sospecha que su meta fuera el ciberespionaje.
“Los atacantes comprometieron los servidores de actualización internos de la empresa DLP para entregar malware dentro de la red del desarrollador de software y troyanizaron a los instaladores de herramientas legítimas de terceros utilizadas por la empresa, lo que eventualmente resultó en la ejecución de malware en las computadoras de sus clientes”, explica Facundo Muñoz, investigador de ESET.
“Durante la intrusión, los atacantes implementaron un programa de descarga no documentado anteriormente, al que llamamos ShadowPy, y también implementaron la puerta trasera Netboy (también conocida como Invader), así como el programa de descarga Ghostdown”, agrega.
Todo comenzó hace 2 años
El ataque inicial se remontaría a justo hace dos años, en marzo de 2021 y ESET advirtió a la empresa sobre cómo sus sistemas habían sido comprometidos.
En 2022 la telemetría de la empresa de ciberseguridad identificó la ejecución de código malicioso en las redes de dos de sus clientes. La firma descubrió que la transmisión se llevó a cabo mediante un software de soporte remoto, así que sospecha que pudo suceder cuando DLP estaba ofreciendo servicio técnico.
Tick (conocido igualmente como BRONZE BUTLER o REDBALDKNIGHT) es un grupo APT que llevaría activo desde al menos 2006 y que se dirige principalmente a países de la región Asia-Pacífico.
Este colectivo se enfoca en robar información clasificada y propiedad intelectual. Tick emplea un exclusivo conjunto de herramientas de malware personalizado diseñado para el acceso persistente a máquinas comprometidas, reconocimiento, exfiltración de datos y descarga de herramientas, según informa HelpNet Security.