En días recientes ha sido descubierto un nuevo grupo de ciberespionaje que ataca principalmente a hoteles a lo largo y ancho del mundo, aunque también se ha detectado que incluye entre sus víctimas a gobiernos, organizaciones, hospitales, empresas de ingeniería y hasta bufetes de abogados.

El descubrimiento fue hecho y dado a conocer por la firma de ciberseguridad ESET en la última quincena de septiembre. ESET bautizó a este grupo como FamousSparrow y cree que empezó sus actividades de ciberespionaje en el año 2019.

La empresa especializada en ciberserguridad informó que FamousSparrow ha fijado sus objetivos hasta ahora en:

• Francia.
• Lituania.
• Reino Unido.
• Israel.
• Arabia Saudí.
• Brasil.
• Canadá.
• Guatemala.
• Taiwán.
• Burkina Faso.

Por otra parte, ESET precisó que FamousSparrow ha aprovechado las vulnerabilidades del ProxyLogon de Microsoft Exchange desde marzo, tras la publicación de los parches del programa. Esto se ha traducido en una cadena de debilidades de ejecución remota de código, decido a los cuales los ciberdelincuentes han podido tomar el control de servidores de correo electrónico de Exchange de sus víctimas.

Uno de los investigadores de ESET que descubrió FamousSparrow, Matthieu Faou, dijo:

“Este es otro recordatorio de que es fundamental parchear rápidamente las aplicaciones orientadas a Internet o, si no es posible hacerlo, no exponerlas a Internet en absoluto.”

FamousSparrow, especialista en ciberespionaje 

El grupo FamousSparrow ha tomado ventaja de grietas de seguridad en Microsoft Exchange Server para constituirse en lo que se conoce como una amenaza persistente avanzada, dedicada al ciberespionaje. ESET señala que FamousSparrow logró comprometer la seguridad de los servidores de Microsoft Exchange para hoteles, gobiernos, organizaciones, hospitales y otras instituciones.

La firma cree que la amenaza permanece latente y que este grupo roba credenciales Mimikatz una vez que vulnera el sistema. FamousSparrow se vale de Microsoft Exchange Server, que es un servidor de correo utilizado por millones de clientes en todo el mundo. Esta herramienta permite habilitar los buzones que están en la nube o en los servidores locales de la empresa atacada; es allí donde precisamente los sistemas no parcheados son vulnerables.

Según ESET, FamousSparrow es la única organización que en la actualidad emplea la backdoor personalizada para llevar a cabo sus acciones delictivas, el cual revela su forma de proceder y puede consultarse en la página de la compañía. Los investigadores apuntan que hay al menos 10 grupos que se aprovechan en este momento de la vulnerabilidad del ProxyLogon.