Sandworm despliega nuevo data wiper y crece la sofisticación en campañas APT según ESET
Introducción
El panorama de amenazas avanzadas persistentes (APT) continúa evolucionando con una velocidad alarmante, como revela el último APT Activity Report publicado por ESET. En este informe, los expertos de la compañía analizan actividades recientes de actores clave como Sandworm y UnsolicitedBooker, destacando nuevas técnicas destructivas, campañas sostenidas y los retos crecientes en la atribución debido a la compartición de herramientas entre grupos de cibercriminales. Este artículo profundiza en los hallazgos técnicos más relevantes, su impacto potencial y las medidas que deben considerar los profesionales de la ciberseguridad para proteger sus infraestructuras.
Contexto del Incidente o Vulnerabilidad
Sandworm, grupo APT ampliamente vinculado con intereses estatales rusos y conocido por ataques de alto perfil como NotPetya o BlackEnergy, ha sido identificado como responsable de la distribución de un nuevo data wiper en campañas recientes dirigidas principalmente contra infraestructuras críticas y entidades gubernamentales en Europa del Este. Paralelamente, UnsolicitedBooker, actor emergente con patrones atribuibles a campañas de phishing avanzado y robo de credenciales, ha intensificado su actividad, enfocándose en sectores financieros y de telecomunicaciones, según el informe de ESET.
Detalles Técnicos
El nuevo data wiper operado por Sandworm, denominado por ESET como “Nukewiper”, presenta capacidades mejoradas respecto a variantes previas. Nukewiper explota vulnerabilidades conocidas en servicios expuestos (por ejemplo, CVE-2023-23397 en Microsoft Outlook y CVE-2023-28252 en Windows Common Log File System Driver) como vectores de acceso inicial. Tras comprometer los sistemas, el malware procede a sobrescribir y corromper MFT (Master File Table) de volúmenes NTFS, inutilizando la recuperación de datos convencionales.
El análisis de TTPs, según la matriz MITRE ATT&CK, asocia las siguientes tácticas a las campañas reportadas:
– TA0001: Initial Access (spear-phishing vía adjuntos maliciosos)
– TA0002: Execution (payloads con PowerShell y scripting)
– TA0040: Impact (Data Destruction mediante wipers personalizados)
– TA0010: Exfiltration (uso de Cobalt Strike y canales cifrados para extracción de credenciales)
ESET identifica además IoCs como hashes SHA-256 vinculados a Nukewiper, direcciones IP de C2 en ranges de Europa Oriental y artefactos de persistencia en el registro de Windows. Por otro lado, UnsolicitedBooker ha sido observado reutilizando frameworks como Metasploit para movimiento lateral y despliegue de keyloggers, además de compartir infraestructura con otros grupos, lo que complica la atribución precisa.
Impacto y Riesgos
Las campañas de Sandworm con Nukewiper han logrado inhabilitar hasta un 12% de los entornos TI de organizaciones afectadas durante los primeros días post-infección, con pérdidas económicas estimadas en torno a los 10 millones de euros por incidente, considerando tiempos de inactividad, costes de recuperación y daño reputacional.
La persistencia y adaptabilidad de UnsolicitedBooker incrementan el riesgo para sectores críticos europeos, especialmente cuando combinan técnicas evasivas y explotación de credenciales privilegiadas. La compartición de herramientas entre APTs añade una capa de complejidad tanto al análisis forense como a la respuesta a incidentes, diluyendo la trazabilidad y ralentizando la mitigación.
Medidas de Mitigación y Recomendaciones
ESET recomienda aplicar las siguientes acciones para mitigar el riesgo de estas amenazas:
– Parchear inmediatamente sistemas vulnerables (especial atención a CVE-2023-23397 y CVE-2023-28252).
– Implementar segmentación de red y controles de acceso estrictos para limitar el movimiento lateral.
– Monitorización continua de logs y tráfico de red en busca de IoCs publicados por ESET.
– Uso de soluciones EDR y SIEM que permitan respuesta automatizada ante patrones TTP identificados.
– Revisión y endurecimiento de políticas de backup, asegurando la integridad y desconexión de copias de seguridad.
– Formación periódica de usuarios en detección de phishing avanzado y buenas prácticas de seguridad.
Opinión de Expertos
Según Roman Kováč, Chief Research Officer de ESET, “la sofisticación y modularidad de la nueva generación de wipers de Sandworm evidencia la escalada en la guerra cibernética y la necesidad de una respuesta coordinada a nivel europeo”. Analistas independientes destacan que la dificultad en la atribución, motivada por el uso compartido de herramientas como Cobalt Strike, implica que la defensa debe centrarse menos en el actor y más en la detección temprana de técnicas y comportamientos anómalos.
Implicaciones para Empresas y Usuarios
Para los CISOs y equipos SOC, el informe subraya la urgencia de revisar sus estrategias de defensa en profundidad, priorizando la visibilidad sobre endpoints y la respuesta proactiva ante eventos sospechosos. La amenaza de wipers destruyendo datos críticos impone además la obligación de cumplir con normativas como GDPR y la inminente NIS2, que demandan demostraciones claras de resiliencia y notificación rápida de incidentes. Para los administradores de sistemas, la automatización de parches y la monitorización de credenciales son más vitales que nunca.
Conclusiones
La actividad reciente de Sandworm y UnsolicitedBooker confirma una tendencia al alza en la sofisticación y el impacto de las campañas APT en Europa. La compartición de herramientas y técnicas entre grupos amenaza con dificultar la atribución y la respuesta eficaz. Solo la aplicación rigurosa de controles técnicos, la formación continua y la colaboración sectorial permitirán contener los riesgos y minimizar el impacto de próximas oleadas de ataques.
(Fuente: www.welivesecurity.com)