{{#section.link.href}}
{{section.link.title}}
{{/section.link.href}}
La empresa de ciberseguridad Proofpoint detectó el pasado marzo una campaña de ciberespionaje procedente de China y dirigida a Europa en la que los ciberdelincuentes enviaban como cebo unas supuestas directrices contra el coronavirus de parte de la Organización Mundial de la Salud (OMS).
El objetivo real de esta amenaza era distribuir una nueva familia de 'malware', a la que los investigadores han denominado Sepulcher, entre organismos diplomáticos y legislativos europeos, centros de investigación sin ánimo de lucro sobre políticas y organizaciones globales de asuntos económicos, como ha informado Proofpoint en un comunicado.
Las cuentas desde las que se remitían dichos mensajes apuntaban al grupo TA413, asociado a los intereses del gobierno chino, como autor de la amenaza, pese a que su actividad había estado ligada hasta entonces a históricas campañas en contra de la diáspora tibetana.
Este grupo de ciberespionaje recurrió al gancho de la Covid-19 para recopilar información acerca de la salud de las economías occidentales en mitad de la pandemia, aprovechándose de la situación de urgencia mundial para atraer a sus víctimas con un nuevo 'malware'.
Los correos electrónicos pertenecientes a esta campaña contenían un archivo adjunto en formato de texto enriquecido (RTF) que simulaba ser el documento titulado 'Critical preparedness, readiness and response actions for COVID-19, Interim guidance', que la OMS publicó inicialmente el pasado 7 de marzo.
Los ciberdelincuentes empezaron a circular dicho adjunto malicioso el 16 de marzo que, al ejecutarse, explotaba una vulnerabilidad del editor de ecuaciones de Microsoft, instalando un metarchivo de Windows (WMF) que finalmente entregaba el 'malware'. Según los expertos en ciberseguridad, esta táctica con documentos RTF no es más que una variante de otro método que siguen números grupos de ciberdelincuencia en China.
Desde Proofpoint comentan, no obstante, que en el caso del TA413 este reajuste de enfoque en sus ataques ha sido a corto plazo. El mismo grupo de amenazas persistentes avanzadas (APT) ha sido vinculado a finales de julio a otras campañas de amenazas dirigidas de nuevo hacia la comunidad tibetana.
'Ripple20' es el nombre que recibe una serie de 19 vulnerabilidades de día cero que expone cientos de millones de dispositivos del Internet de las Cosas (IoT) y sistemas industriales y supone amenazas de alto nivel para compañías de sectores críticos como el energético, el logístico y de telecomunicaciones.
Esta serie de vulnerabilidades, dependiendo de su criticidad, se clasifican según el sistema de puntaje CVSS versión 3, el cual evalúa su posible impacto, siendo 0 la puntuación más baja y 10 la más alta. Según la lista proporcionada por la empresa de ciberseguridad israelí que las ha detectado, JSOF, ya son 21 compañías las que se han visto afectadas, tales como HP o Schneider Electric/APC, entre otras.
La compañía de ciberseguridad vasca S21sec ha alertado en un comunicado sobre cuatro de las 19 vulnerabilidades de día cero de 'Ripple20', que tienen una puntuación de entre 9 y 10, lo que supone "amenazas de alto nivel", especialmente para compañías del sector energético, logístico, de telecomunicaciones, aeroespacial y organismos gubernamentales, debido al uso malicioso que pueden hacer grupos de ciberdelincuentes.