KASPERSKY LAB DESCUBRE GRABIT: UN CIBERESPÍA QUE VIGILA A PYMES
Kaspersky Lab descubrió
recientemente una nueva campaña de ciberespionaje dirigida a negocios
llamada Grabit que pudo robar cerca de 10,000 archivos de
empresas pequeñas/medianas principalmente de Tailandia, India y los Estados
Unidos. La lista de los sectores objetivo incluye las áreas de la química,
nanotecnología, educación, agricultura, medios, construcción y otros.
Otros países afectados son Emiratos
Árabes Unidos, Alemania, Israel, Canadá, Francia, Austria, Sri Lanka,Chile y
Bélgica.
"Vemos muchas campañas de
espionaje enfocadas en empresas, organizaciones gubernamentales y otras
entidades de alto perfil en donde rara vez se ven negocios pequeños o medianos
en las listas de objetivos. Sin embargo, Grabit demuestra que no se trata sólo
del juego del "pez grande"– en el mundo cibernético cada
organización, que tenga dinero, información o influencia política, podría ser
del interés potencial de uno u otro actor malicioso. Grabit sigue activo, y es
crucial que las PyMEs revisen su red para asegurar que no haya sido afectada.
El 15 de mayo se encontró que un registrador de teclas de Grabit estaba
registrando miles de credenciales de cuentas de víctimas de cientos de sistemas
infectados. Esta amenaza no se debe subestimar", dijo Ido Noar,
Investigador Senior de Seguridad del Equipo de Análisis e Investigación Global
de Kaspersky Lab.
La infección comienza cuando un
usuario de alguna organización comercial recibe un correo electrónico con un
enlace que luce como un archivo de Word (.doc) de Microsoft Office. El usuario
hace clic para descargarlo y el programa de espionaje entra a la máquina desde
un servidor remoto que ha sido hackeado por el grupo para que sirva como un
concentrador de malware. Los atacantes controlan a sus víctimas mediante un
registrador de teclas HawkEye, una herramienta comercial de espionaje de HawkEyeProducts,
y un módulo de configuración que contiene varias Herramientas de Administración
Remota (RATs).
Para ilustrar la escala de la
operación, Kaspersky Lab puede revelar que un registrador de teclas en sólo uno
de los servidores de comando y control fue capaz de robar 2,887 contraseñas,
1,053 correos electrónicos y 3,023 nombres de usuario de 4,928 anfitriones
diferentes, interna y externamente, incluyendo Outlook, Facebook, Skype, Gmail,
Pinterest, Yahoo!, LinkedIn y Twitter, así como cuentas bancarias y otros.
Un grupo errático de ciberdelincuentes
Por un lado, el actor de Grabit no se
preocupa por ocultar su actividad: algunas muestras maliciosas utilizaron el
mismo servidor, incluso las mismas credenciales, debilitando su propia
seguridad. Por otro lado, los atacantes utilizan técnicas fuertes de mitigación
para mantener su código oculto para los ojos de analistas. Esto lleva a pensar
a Kaspersky Lab que atrás de la operación de olfateo se encuentra un grupo
errático, con algunos miembros más técnicos y enfocados en no ser rastreados
que otros. El análisis experto sugiere que quienquiera que haya
programado el malware no escribió todo el código desde cero.
Para protegerse contra Grabit,
Kaspersky Lab ofrece los siguientes consejos:
· Revise esta
ubicación: C:\Users\<PC-NAME>\AppData\Roaming\Microsoft, si contiene
archivos ejecutables, usted podría estar infectado con el malware. Esto es una
advertencia que no debe ignorar.
· Las
Configuraciones del Sistema Windows no deben contener un archivo ejecutable
grabit1.exe en la tabla de arranque. Ejecute "msconfig" y
asegúrese que no contenga los registros de grabit1.exe.
· No abra
archivos anexos y enlaces de personas que no conozca. Si no lo puede abrir, no
lo envié a otros – pida asistencia a un administrador de TI.
· Utilice una
solución avanzada antimalware actualizada, y siempre siga la lista de tareas
del antivirus para procesos sospechosos.
Los productos de Kaspersky Lab
detectan todas las muestras conocidas de Grabit y protegen a usuarios contra
esta amenaza.
Para obtener más información acerca
de la operación Grabit, lea por favor el blog disponible en Securelist.com.
No hay comentarios:
Publicar un comentario