Pteredo Backdoor

Los analistas de ciberseguridad están descubriendo más cepas de malware utilizadas en ataques contra objetivos ucranianos. En un informe, los expertos revelaron detalles sobre una operación del grupo ciberdelincuente Gamaredon (también rastreado como Armageddon/Shuckworm) y su última creación de malware llamada Pteredo Backdoor.

Se cree que Gamaredon es un grupo de amenazas patrocinado por el estado ruso que ha mostrado un interés continuo y prolongado en lanzar ataques contra Ucrania. Sus operaciones contra objetivos en el país se remontan al menos a 2014. Desde entonces, se cree que el grupo ha llevado a cabo más de 5000 operaciones de ataque contra aproximadamente 1500 entidades gubernamentales, públicas y privadas.

En cuanto al malware Pteredo (Pteranodon), el análisis ha revelado que es probable que sea un descendiente de una puerta trasera que se ofreció en los foros de piratas informáticos rusos. Los operativos de Gamaredon adquirieron la amenaza y han ampliado aún más sus capacidades a través de módulos DLL especializados. Las cuatro versiones diferentes de Pteredo actualmente identificadas pueden recopilar datos de los dispositivos violados, establecer conexiones de acceso remoto y están equipadas con técnicas de análisis y evasión.

Cabe señalar que las cargas útiles desplegadas en el ataque contra objetivos ucranianos son diferentes, pero realizan acciones similares una vez activadas. Sin embargo, cada carga útil se comunica con una dirección de servidor de comando y control (C2, C&C) diferente. El objetivo probable de los piratas informáticos de Gamaredon es hacer que la limpieza de los dispositivos objetivo a través de herramientas antimalware sea mucho más difícil mediante el uso de cargas útiles ligeramente diferentes.