Los ciberataques no se elaboran de forma alternativa, sino que tienen una serie de objetivos,  y cuando se consiguen es cuando realmente los cibercriminales debilitan a su adversario.

LYCEUM

Hace poco vimos como una APT llamado XENOTIME atacado a compañías petrolíferas de Medio Oriente; en estos momentos otras APT como LYCEUM esta atacando a las mismas compañías. Desde el grupo investigador de Dell SecureWorks nos indican que están activos desde el año pasado, y que comenzaron atacando compañías de telecomunicaciones en Sudáfrica.

Por lo que el origen de LYCEUM, ya había sido visto desde hace tiempo ya que usaba las APT iraníes, que también usaba XENOTIME pero con características y técnicas diferentes.

TÉCNICAS DE ATAQUE 

Para poder acceder a las cuentas de las empresas atacadas, usaban una técnica común y es el uso de la password spraying, la cual funciona introduciendo unas serie de contraseñas más comunes, una vez dentro se envía un Excel malicioso a todos los trabajadores de la empresa, lo que se denomina un spear phishing.

Además, en estos correos que enviaban una vez habían hackeado la empresa ponían una serie de información sobre las mejores prácticas de seguridad, de hecho uno de los email enviado contenía un archivo adjunto que se llamaba las 25 peores contraseñas de 2017.

Si uno de los trabajadores, hacía click en el Excel se instala un DanBot, introduciendo un troyano en el ordenador, que ejecuta comando arbitrarios para descargar archivos; algunas veces han podido observar que se instalaba un keylogger personalizado.

DEFENSA DE LYCEUM

Estos tipos de grupos cibercriminales, que atacan a empresas de energía son especialmente preocupantes, lo que lleva a la empresa a tener especial cuidado con su defensa.

El uso de las técnicas como password spraying, nos dice que las empresas no tienen contraseñas buenas, incluso cuando son empresas que llevan energía a un país entero. Si una contraseña es usada para todo es más fácil que acaben hackeandote, por lo que tenemos que evitar el uso de contraseñas como 1234 o qwerty.

Además, de la concienciación de los empleados ya que el envío masivo de correos electrónicos con archivos adjuntos, nos muestra que muchos de ellos van a hacer click encima de ese archivo.