lolloj - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Kaspersky Lab advierte sobre Poseidón: malware a la venta para casi cualquier objetivo

Grupo Poseidón es la primera campaña de ciberespionaje de habla portuguesa brasileña, orientada a instituciones financieras, de telecomunicaciones, manufactura, energía y medios de comunicación.

El equipo de Análisis e Investigación Global de Kaspersky Lab ha anunciado el descubrimiento del Grupo Poseidón, creador de amenazas avanzadas y activo en operaciones globales de ciberespionaje desde el 2005, si no es que antes.

De acuerdo con Kaspersky Lab, Grupo Poseidón es una entidad comercial, cuyos ataques están relacionados con malware firmado digitalmente con certificados falsos para robar datos confidenciales de sus víctimas y así obligarlos a establecer una relación de negocios. Además, el malware está diseñado para funcionar específicamente en máquinas con Windows en inglés y portugués brasileño, algo por primera vez detectado en un ataque dirigido.  

“El Grupo Poseidón es un equipo que opera desde hace mucho tiempo en todos los dominios: aire, mar y tierra. Algunos de sus centros de comando y control (C&C) se han encontrado dentro de proveedores de servicios de internet (ISP) que ofrecen servicios de Internet a buques en el mar, conexiones inalámbricas, así como dentro de ISPs de operadores tradicionales”, dijo Dmitry Bestuzhev, director del equipo de Análisis e Investigación Global de Kaspersky Lab América Latina. El ejecutivo agregó que varios de los implantes de este grupo tenían una vida útil muy corta, lo cual contribuyó a que este grupo haya podido operar durante mucho tiempo sin ser detectado.

A pesar de que el Grupo Poseidón ha estado activo durante al menos 10 años, las técnicas utilizadas para diseñar sus implantes han evolucionado, lo cual dificulta a los investigadores a correlacionar indicadores y poner todas las piezas juntas. Sin embargo, al recopilar todas las evidencias, trabajando con la caligrafía del actor y reconstruyendo la línea de tiempo del atacante, los expertos de Kaspersky Lab fueron capaces de establecer a mediados de 2015 que los rastros detectados anteriormente, aunque sin identificar, de hecho pertenecían al mismo actor de las amenazas: Poseidón.

En los dominios del Tritón

Una de las características del Grupo Poseidón es la exploración activa de las redes corporativas basadas en el dominio. Según el informe de análisis de Kaspersky Lab, el Grupo Poseidón depende de correos electrónicos de spear-phishing con archivos RTF/DOC, por lo general con un señuelo de recursos humanos, que deposita un binario malicioso en el sistema del objetivo cuando éste le da clic. Otro hallazgo clave es la presencia de cadenas en idioma portugués brasileño.

De acuerdo con el reporte de Kaspersky, la preferencia del grupo por los sistemas en portugués, según lo revelado en las muestras, es una práctica que hasta ahora no se había visto.

Una vez que se infecta una computadora, el malware se comunica con el servidor de comando y control (C&C) antes de iniciar una fase compleja de movimiento lateral. Esta fase suele aprovechar una herramienta especializada que recoge de forma automática y agresiva una amplia gama de información, incluyendo las credenciales, políticas de gestión de grupos e incluso registros del sistema para perfeccionar nuevos ataques y asegurar la ejecución del programa malicioso. Al hacer esto, los atacantes saben realmente qué aplicaciones y comandos pueden utilizar sin alertar al administrador de la red durante el movimiento lateral y la exfiltración.

Varios de los centros de comando y control de Poseidón han sido detectados en Brasil, Estados Unidos, Grecia, Colombia, Venezuela y en alta mar.

Tal vez la mayor amenaza para las empresas, más allá de las acciones del malware en sí, es que la información recopilada es aprovechada por un supuesto negocio para manipular a las compañías víctimas a que contraten al Grupo Poseidón como consultor de seguridad, bajo la amenaza de utilizar la información robada en una serie de negocios turbios en beneficio de Poseidón. Chantaje puro.

Se han identificado al menos 35 empresas víctimas con objetivos primarios, siendo las industrias más atacadas las instituciones financieras y gubernamentales, telecomunicaciones, manufactura, energía y otras empresas de servicios públicos, así como empresas de medios de comunicación y de relaciones públicas. Kaspersky Lab también detectó ataques en empresas de servicios que atienden a altos ejecutivos corporativos.

Las víctimas de este grupo se han encontrado principalmente en los siguientes países:

  • Estados Unidos
  • Francia
  • Kazajstán
  • Emiratos Árabes Unidos
  • India
  • Rusia

Sin embargo, la propagación de víctimas está muy inclinada hacia Brasil, donde muchas de las víctimas tienen empresas conjuntas u operaciones asociadas.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close