Foto: Shutterstock
http://www.netmedia.mx/b-secure/grupo-poseidon-una-boutique-de-malware-comercial/
B:Secure

Grupo Poseidón, una boutique de malware comercial

El Equipo de Análisis e Investigación Global de Kaspersky Lab descubrió las acciones de ciberespionaje de Grupo Poseidón, un grupo de hackers que opera como una entidad comercial.

De acuerdo a la información recopilada por Kaspersky, el modo de operación de Grupo Poseidón es novedoso y evolucionado. Esté grupo realiza ataques con malware firmado digitalmente con certificados falsos para robar datos confidenciales de sus víctimas y así obligarlos a establecer una relación de negocios.

Otra de las peculiaridades de esta empresa de ciberespionaje es que su malware está programado para funcionar en equipos con versiones de Windows en inglés y portugués brasileño y sus principales víctimas son instituciones financieras, telecomunicaciones, manufactura, energía y medios de comunicación.

La firma de seguridad detectó operaciones de Grupo Poseidón en Estados Unidos, Francia, Kazajstán, Emiratos Árabes Unidos, India y Rusia. Sin embargo, notaron una propagación de víctimas en Brasil.

¿Cómo atacan?
Una de las características del Grupo Poseidón es la exploración activa de las redes corporativas basadas en el dominio. Según el informe de análisis de Kaspersky Lab, el Grupo Poseidón depende de correos electrónicos de spear-phishing con archivos RTF/DOC, por lo general con un señuelo de recursos humanos, que deposita un binario malicioso en el sistema del objetivo cuando éste le da clic.

Otro hallazgo clave es la presencia de cadenas en idioma portugués brasileño. La preferencia del grupo por los sistemas en portugués, según lo revelado en las muestras, es una práctica que hasta ahora no se había visto.

Una vez que se infecta una computadora, el malware se comunica con el servidor de comando y control antes de iniciar una fase compleja de movimiento lateral. Esta fase suele aprovechar una herramienta especializada que recoge de forma automática y agresiva una amplia gama de información, incluyendo las credenciales, políticas de gestión de grupos e incluso registros del sistema para perfeccionar nuevos ataques y asegurar la ejecución del programa malicioso. Al hacer esto, los atacantes saben realmente qué aplicaciones y comandos pueden utilizar sin alertar al administrador de la red durante el movimiento lateral y la exfiltración. Varios de los centros de comando y control de Poseidón han sido detectados en Brasil, Estados Unidos, Grecia, Colombia, Venezuela y en alta mar.

La información recopilada es aprovechada por un supuesto negocio para manipular a las compañías víctimas a que contraten al Grupo Poseidón como consultor de seguridad, bajo la amenaza de utilizar la información robada en una serie de negocios turbios en beneficio de Poseidón.

Ataques certeros

Dmitry Bestuzhev, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab América Latina señala “el Grupo Poseidón es un equipo de muchos años que opera en todos los dominios: aire, mar y tierra. Algunos de sus centros de comando y control se han encontrado dentro de ISPs que ofrecen servicios de Internet a buques en el mar, conexiones inalámbricas, así como dentro de ISPs de operadores tradicionales”.

A pesar de que el Grupo Poseidón ha estado activo durante al menos 10 años, las técnicas utilizadas para diseñar sus implantes han evolucionado, lo cual dificulta a los investigadores a correlacionar indicadores y poner todas las piezas juntas.

Netmedia es mucha más que noticias. suscríbase y reciba lo mejor

Te recomendamos

Grupo Poseidón, una boutique de malware comercial