El laboratorio de ESET ha informado sobre un ataque dirigido a Europa del Este que se aprovechaba de una vulnerabilidad para la que no existía solución (zero-day). El exploit usado por los atacantes se aprovechaba de una vulnerabilidad de escalada de privilegios locales en Microsoft Windows.
Los investigadores de ESET, la mayor empresa de ciberseguridad de la Unión Europea, han podido identificar a los perpetradores del ataque: se trata del infame Buhtrap APT, un grupo de ciberdelincuentes que se centra en las operaciones de espionaje en Europa del Este y Asia Central. Por primera vez, ESET los ha visto aprovechar una vulnerabilidad zero-day como parte de una campaña.
El grupo Buhtrap es bastante conocido por dirigir sus ataques y operaciones tanto a instituciones financieras como a empresas en Rusia. Sin embargo, desde finales de 2015, hemos sido testigos de un cambio interesante en el perfil de los objetivos tradicionales del grupo, que ha evolucionado desde ser un grupo criminal puro que comete delitos cibernéticos con fines de lucro hasta desarrollar un conjunto de herramientas de malware para realizar espionaje.
“Siempre es difícil atribuir una campaña a un actor en particular cuando el código fuente de sus herramientas está disponible gratuitamente en la web. Sin embargo, como el cambio en el objetivo se produjo antes de que se filtrara el código fuente, hemos descubierto con bastante fiabilidad que las mismas personas que están detrás de los primeros ataques de malware Buhtrap contra empresas y bancos ahora también participan en los ataques a instituciones gubernamentales”, explica Jean-Ian Boutin, investigador de ESET. “No está claro si uno o varios miembros de este grupo decidieron cambiar de enfoque y por qué razones, pero definitivamente es una tendencia que es probable que sigamos observando más en el futuro”, agrega.
