Los grupos de amenazas persistentes avanzadas (APT) siguen siendo los principales objetos de estudio de las agencias y firmas de ciberseguridad. Uno de los grupos que más han llamado la atención de estas agencias es Gamaredon, un grupo de hacking con vínculos con el gobierno de Rusia y reconocido por ofrecer sus servicios a otros grupos APT.
También identificado como Primitive Bear, este grupo ha estado activo al menos desde 2013 y pudo ser detectado en múltiples ciberataques contra la infraestructura crítica de Ucrania; esto no quiere decir que Gamaredon no haya sido detectado en otros incidentes alrededor del mundo.
Aunque las actividades de este grupo de hacking han sido ampliamente documentadas este APT sigue operando sin restricción alguna, recopilando toda clase de información sobre sus potenciales objetivos y compartiendo estos informes con otros grupos de hacking avanzado. Sobre los métodos de ataque empleados por Gamaredon, los expertos de Cisco Talos mencionan que este grupo basa sus operaciones en el despliegue de crimeware, una variante de software malicioso desarrollado especialmente para la ejecución de delitos financieros en sistemas informáticos en línea.
Los expertos mencionan que estos hackers cuentan con más de 600 dominios activos utilizados como servidores C&C para la primera etapa del ataque y desplegar las cargas útiles de la segunda etapa: “Los grupos APT a menudo se asocian con actividades maliciosas de alto impacto, creando redes de actividad altamente difíciles de detectar”, agrega el informe de Talos.
Una de las más atractivas características de Gamaredon es que este grupo no parece obtener un beneficio directo del tobo de información de sus víctimas, lo que llevó a Cisco Talos a deducir que el principal objetivo de este grupo es compartir información crítica con otros grupos de hacking. Los expertos no descartan que Gamaredon también realice operaciones de forma más directa.
Aunque en escasas ocasiones se les ha identificado como principales operadores de complejas campañas de hacking, los expertos tienen claro que Gamaredon es un esfuerzo cibercriminal altamente avanzado: “Puede que sea un error de enfoque pensar que Gamaredon es un grupo auspiciado por el gobierno ruso, ya que estos hackers simplemente colaboran con quien cubra el costo por sus servicios”, señala el reporte.
Cisco Talos considera a Gamaredon como una APT “de segundo nivel”, categoría referente a grupos especializados en delitos cibernéticos no vinculados a estados nacionales: “Gamaredon sigue siendo un grupo altamente prolífico que opera sin restricciones a un nivel global, por lo que los riesgos asociados a estas campañas deben ser tomados con absoluta seriedad.”
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.