Un grupo de ciberespías llamado Sofacy ha estado haciendo mucho ruido estos últimos meses, es por ello que el equipo de investigación global de Kaspersky Lab logró detectar nuevos ataques de los cibercriminales, esta vez, con nuevas herramientas y variadas técnicas diseñadas para lograr una persistencia agresiva y un campo de invisibilidad de su actividad maliciosa una vez que se encuentran en el sistema de la víctima.

Sofacy es el nombre clave que lleva este grupo de cibercriminales, también se hacen conocer por otros nombres como Fancy Bear, Sednit, Strontium y APT28, durante los últimos años ha logrado hacerse un lugar en el mundo de los cibercriminales por sus constantes desarrollos maliciosos. Los ciberespías de origen ruso operan desde el año 2008 y han logrado atacar importantes instituciones y usuarios domésticos, sus amenazas avanzadas tienen como principal objetivo entidades militares y gubernamentales a lo largo y ancho del mundo. En cambio, fue el año pasado cuando lograron captar la atención de los investigadores de Kaspersky Lab debido a sus constantes actividades maliciosas. Según los expertos, Sofacy todavía tiene nuevas herramientas maliciosas mucho más avanzadas dentro de su base de operaciones que todavía no hemos visto.

Dentro del análisis que se pudo hacer por parte de Kaspersky Lab, se pudo saber que los ciberespías utilizan diversos backdoors para infiltrarse en el equipo de la víctima, y luego lo siguen reinfectando con más herramientas maliciosas, de esta manera se aseguran de acceder al equipo con una amenaza y luego poder lanzar muchos más métodos de infección si alguno falla o es detectado por el antivirus residente.

Entre tantas amenazas y ataques registrados este 2015, el grupo cibercriminal Sofacy logró crear y utilizar una nueva versión de su implante de robo USB, que infecta y roba datos de las unidades extraíbles de los equipos a los que se conectan, y después se va haciendo una gran cadena a medida que los dispositivos USB se van conectando a otros equipos. Una vez que el dispositivo USB está infectado, los datos son enviados a los cibercriminales sin que el usuario se percate de lo sucedido.

Kaspersky Lab ha logrado detectar algo que los cibercriminales utilizan cada vez más dentro de sus ataques dirigidos, se trata de una “modificación” del malware, introduciendo algunas características de los backdoors en módulos separados para lograr ocultar mejor la actividad maliciosa una vez que el sistema de la víctima está infectado.

«Por lo general, cuando alguien publica una investigación sobre un grupo de ciberespionaje, el grupo reacciona, bien deteniendo su actividad o cambiando drásticamente sus tácticas y estrategia. Con Sofacy, no ha sido el caso, los hemos visto lanzando ataques desde hace varios años y su actividad ha sido documentada por la comunidad de seguridad varias veces. En 2015 su actividad se incrementó significativamente, con el despliegue de no menos de cinco ataques de día cero, haciendo de Sofacy uno de los autores de amenazas más prolíficos, ágiles y dinámicos de la actualidad. Tenemos razones para creer que estos ataques continuarán», comenta Costin Raiu, Director de Investigación y Análisis Global en Kaspersky Lab.