En la primavera de 2024, el conocido grupo Twelve reapareció en la escena del cibercrimen . Después de una breve pausa, sus actividades volvieron a atraer la atención de los expertos en ciberseguridad. A finales de junio se registraron ataques y, al analizarlos, los expertos descubrieron métodos e infraestructura idénticos utilizados anteriormente por este grupo. Esta era una fuerte evidencia de que Twelve continuaba con sus actividades destructivas y probablemente pronto intentaría atacar objetivos más grandes nuevamente.
El grupo Twelve surgió en abril de 2023 y desde entonces se ha especializado en ataques contra empresas estatales rusas. La principal táctica del grupo es cifrar los datos de las víctimas, lo que dificulta mucho la restauración de la infraestructura de información. Como resultado de tales acciones, las organizaciones se encuentran en una posición extremadamente vulnerable, a menudo sin la capacidad de recuperar los datos perdidos. Este método indica el objetivo principal de los atacantes: causar el máximo daño.
Un dato interesante es que Twelve utiliza técnicas y herramientas similares con otro grupo cibercriminal DARKSTAR, lo que puede indicar que ambos grupos pertenecen al mismo sindicato. Mientras que DARKSTAR se adhiere al clásico esquema de extorsión, Twelve opera claramente con motivos políticos e ideológicos.
En sus ataques, Twelve utiliza activamente herramientas ya conocidas como Cobalt Strike, Mimikatz y ngrok, así como una serie de web shells para penetrar las redes de las víctimas y distribuir su código malicioso. La mayoría de las herramientas que utiliza el grupo están disponibles en código abierto, lo que las hace accesibles incluso para atacantes menos experimentados.
Uno de los rasgos característicos de los ataques de Twelve es el uso de técnicas de ingeniería social para obtener acceso a la red interna de la empresa víctima a través de contratistas. Una vez que los piratas informáticos obtienen acceso a la infraestructura del contratista, utilizan las credenciales del contratista para infiltrarse en la red de la empresa anfitriona.
Los atacantes intentan disfrazar sus acciones ocultando rastros de su presencia en los sistemas y falsificando nombres de procesos para que parezcan servicios legítimos. También utilizan activamente herramientas para limpiar registros y otros datos que podrían ayudar a identificarlos.
Uno de los ejemplos más llamativos de los métodos avanzados utilizados por Twelve fue la puerta trasera FaceFish descubierta por los especialistas, que se introdujo en el servidor VMware vCenter a través de vulnerabilidades. Este código malicioso permitió a los atacantes controlar de forma encubierta los sistemas mientras recopilaban información crítica.
La principal estrategia del grupo tiene como objetivo maximizar la destrucción de infraestructura crítica, el robo de datos confidenciales y la discriminación contra las víctimas mediante la publicación de información sobre el hackeo en canales públicos de Telegram. Este enfoque demuestra que para los Twelve, lo importante no es tanto el efecto material sino el ideológico.
El grupo también utiliza potentes ransomware, como LockBit 3.0, para bloquear los datos de las víctimas. En algunos casos, utilizan limpiadores, programas que destruyen por completo los datos de los discos duros, imposibilitando su recuperación.
Desde una perspectiva de seguridad, los expertos destacan la importancia de la detección temprana y la prevención de los ataques de Twelve. El uso de herramientas y métodos disponibles públicamente hace que sus acciones sean predecibles, lo que les da la posibilidad de repeler ataques con éxito si las medidas de seguridad están configuradas correctamente.
En conclusión, el grupo cibercriminal Twelve sigue siendo uno de los más peligrosos y activos en la actualidad. Sus ataques representan una seria amenaza para las organizaciones, especialmente aquellas involucradas en infraestructura crítica. Los expertos en seguridad recomiendan encarecidamente que las empresas refuercen sus medidas de seguridad y estén preparadas para posibles ataques que podrían causar daños importantes y poner en peligro sus operaciones.
Y si necesitáis una auditoría de ciberseguridad y podemos seros útiles, estamos a vuestra disposición en nuestro correo [email protected]
Deja una respuesta