AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Armored Likho: Nueva Amenaza Avanzada Ataca a Gobiernos y Sector Energético en Eurasia y Sudamérica

Introducción

El panorama global de amenazas cibernéticas sigue evolucionando con la aparición de actores cada vez más sofisticados y multifacéticos. Recientemente, los investigadores de Kaspersky han identificado un grupo hasta ahora desconocido, denominado Armored Likho, que ha dirigido ataques selectivos contra agencias gubernamentales y el sector eléctrico en Rusia, Brasil y Kazajistán. Este actor destaca por la combinación de campañas con motivación financiera y operaciones de ciberespionaje, lo que representa un desafío significativo para los equipos de defensa y respuesta de incidentes.

Contexto del Incidente o Vulnerabilidad

El grupo Armored Likho ha sido atribuido a una serie de intrusiones documentadas a lo largo del primer semestre de 2024. Según el análisis técnico publicado por el equipo de Kaspersky, este actor emergente ha mostrado una capacidad notable para ajustar sus tácticas según el objetivo: mientras que en algunos casos busca el beneficio económico a través de extorsión y robo de datos personales, en otros despliega operaciones de espionaje dirigidas a infraestructuras críticas y organismos estatales.

La selección de los sectores atacados no es casual: tanto el sector público como el energético son objetivos prioritarios en los actuales conflictos geopolíticos y económicos, lo que incrementa la sensibilidad y el impacto de las intrusiones. En particular, la afectación a empresas de energía eléctrica en Rusia y Kazajistán pone de manifiesto el riesgo que corre la integridad operativa de infraestructuras esenciales.

Detalles Técnicos

El análisis de Kaspersky revela que Armored Likho emplea una variedad de vectores de ataque y herramientas avanzadas. Entre las vulnerabilidades explotadas se encuentran fallos conocidos en sistemas Windows Server (CVE-2023-23397 y CVE-2024-21410), así como técnicas de spear phishing altamente personalizadas. Se ha observado el uso de archivos adjuntos maliciosos y enlaces de descarga que aprovechan exploits para ganar acceso inicial.

Una vez dentro de la red, el grupo utiliza herramientas post-explotación como Cobalt Strike y Metasploit, facilitando el movimiento lateral y la escalada de privilegios. Los TTPs identificados se alinean con técnicas MITRE ATT&CK tales como:

– Initial Access (T1566: Phishing)
– Execution (T1059: Command and Scripting Interpreter)
– Persistence (T1547: Boot or Logon Autostart Execution)
– Credential Access (T1003: OS Credential Dumping)
– Exfiltration (T1041: Exfiltration Over C2 Channel)

Los Indicadores de Compromiso (IoC) incluyen dominios de C2 previamente no documentados, así como hashes de payloads específicos asociados a variantes personalizadas de malware, incluyendo troyanos de acceso remoto (RAT) y herramientas de exfiltración de datos.

Impacto y Riesgos

El alcance de las intrusiones es significativo: Kaspersky estima que al menos una decena de entidades gubernamentales y tres operadores de energía han sido comprometidos, con filtraciones de datos que podrían afectar la seguridad nacional y operativa. El coste económico potencial, considerando interrupciones de servicios y respuesta a incidentes, podría superar los 8 millones de euros en pérdidas directas e indirectas solo en el sector energético.

El principal riesgo para las organizaciones reside en la posible interrupción de servicios críticos, el robo de información confidencial y la utilización de estos datos en operaciones futuras, tanto de sabotaje como de chantaje. Además, la combinación de motivaciones económicas y de inteligencia amplía el espectro de amenazas a largo plazo.

Medidas de Mitigación y Recomendaciones

A la luz de los hallazgos, se recomienda la aplicación inmediata de los siguientes controles:

1. **Actualización de software y sistemas operativos**: Priorizar los parches para las vulnerabilidades mencionadas (CVE-2023-23397, CVE-2024-21410).
2. **Refuerzo de la autenticación multifactor** en todos los accesos críticos.
3. **Monitorización avanzada de red**: Implementar soluciones EDR y SIEM capaces de detectar patrones de Cobalt Strike y Metasploit.
4. **Formación continua en phishing dirigido** para empleados de alto riesgo.
5. **Revisión y segmentación de redes**, especialmente en entornos OT/ICS del sector energético.
6. **Implementación de listas de bloqueo (blacklisting)** para los IoCs publicados.

Opinión de Expertos

Desde el CERT español, se advierte que el enfoque dual de Armored Likho refleja una tendencia creciente: “Los actores híbridos que combinan espionaje y cibercrimen obligan a las organizaciones a revisar sus estrategias de defensa de forma integral”, destaca un analista sénior. Por su parte, expertos en inteligencia de amenazas de la ENISA subrayan la importancia de compartir indicadores y alertas tempranas, en línea con los requisitos de la directiva NIS2.

Implicaciones para Empresas y Usuarios

La actividad de Armored Likho pone de relieve la necesidad de que las organizaciones del sector público y privado adopten una postura proactiva en ciberseguridad. Más allá de la protección técnica, es fundamental revisar los procedimientos de gestión de incidentes y cumplimiento normativo, especialmente en lo relativo a GDPR y NIS2, dada la sensibilidad de los datos y la criticidad de los servicios afectados. Los usuarios finales, especialmente aquellos con acceso privilegiado, deben ser conscientes del aumento de campañas de phishing dirigidas y de la importancia de reportar cualquier actividad sospechosa.

Conclusiones

La aparición de Armored Likho confirma el auge de actores complejos, capaces de combinar tácticas de cibercrimen y ciberespionaje. Su actividad subraya la urgencia de reforzar la seguridad en infraestructuras críticas y organismos gubernamentales, así como la colaboración internacional en el intercambio de inteligencia de amenazas. La actualización continua, la monitorización proactiva y el entrenamiento específico son claves para mitigar el impacto de este tipo de amenazas avanzadas.

(Fuente: feeds.feedburner.com)