España, entre los países afectados por Operación Ghoul: ciberamenaza dirigida a organizaciones industriales y de ingeniería
Comunicaciones Hoy13/09/2016
Los analistas de Kaspersky Lab han descubierto la Operación Ghoul, una nueva oleada de ciberataques dirigidos contra diferentes sectores en varios países de todo el mundo. Mediante el uso de correos electrónicos de phishing y malware basados en un kit de software espía prefabricado, los ciberdelincuentes han interceptado datos valiosos de empresas que estaban almacenados en sus redes. En total más de 130 organizaciones de 30 países, entre ellos España, Pakistán, Emiratos Árabes Unidos, India, Egipto, Reino Unido, Alemania, Arabia Saudí fueron atacados con éxito por este grupo.
En junio de 2016, se detectó una oleada de phishing con archivos adjuntos maliciosos. Estos mensajes se enviaron principalmente a los administradores de nivel superior y medio de numerosas empresas. Los correos electrónicos parecían proceder de un banco en los Emiratos Árabes Unidos: simulaba un aviso de pago del banco con un documento adjunto SWIFT, pero en realidad el archivo adjunto contenía malware.
Lo más probable es que la campaña de phishing haya sido organizada por un grupo cibercriminal que los analistas de la compañía ya rastreaban desde marzo de 2015. Los ataques de junio parecen ser la operación más reciente llevada a cabo por este grupo.
El malware en el archivo adjunto se basa en el software espía comercial HawkEye que se vende abiertamente en la Darkweb, y ofrece una variedad de herramientas para los ciberatacantes. Después de la instalación, recoge datos interesantes del PC de la víctima, incluyendo:
Estos datos se envían a los servidores de comando y control del actor amenaza. Según la información interceptada de los servidores de comando y control, la mayoría de las víctimas eran organizaciones que trabajan en los sectores industrial y de ingeniería, como transporte, productos farmacéuticos, fabricación, organizaciones educativas y otro tipo de entidades. Todas estas empresas tenían información valiosa que podría venderse posteriormente en el mercado negro.
La Operación Ghoul, así bautizada por el equipo de Kaspersky Lab, es sólo una entre otras varias campañas del mismo grupo. "En el antiguo folclore, Ghoul es un espíritu maligno asociado con el consumo de carne humana y la caza de niños, originalmente un demonio mesopotámico. Hoy en día, el término se utiliza a veces para describir a una persona codiciosa o materialista. Esto es una descripción precisa del grupo que está detrás de la Operación Ghoul. Su principal motivación es el beneficio económico derivado de la venta de la propiedad intelectual robada e inteligencia de negocios, o de ataques a las cuentas bancarias de sus víctimas. A diferencia de los actores patrocinados por Estados, que eligen cuidadosamente los objetivos, este grupo y otros grupos similares podrían atacar a cualquier empresa. A pesar de que utilizan herramientas maliciosas bastante sencillas, son muy eficaces en sus ataques. Así, las empresas que no están preparadas para detectar los ataques, por desgracia acabarán sufriéndolos", afirma Mohammad Amin Hasbini, experto en seguridad de Kaspersky Lab.
Con el fin de proteger su empresa de Operación Ghoul y otras amenazas, los analistas de Kaspersky Lab recomiendan a las empresas implementar las siguientes medidas:
Los productos de Kaspersky Lab detectan el malware utilizado por el grupo detrás de la Operación Ghoul con los siguientes nombres de detección:
En junio de 2016, se detectó una oleada de phishing con archivos adjuntos maliciosos. Estos mensajes se enviaron principalmente a los administradores de nivel superior y medio de numerosas empresas. Los correos electrónicos parecían proceder de un banco en los Emiratos Árabes Unidos: simulaba un aviso de pago del banco con un documento adjunto SWIFT, pero en realidad el archivo adjunto contenía malware.
Lo más probable es que la campaña de phishing haya sido organizada por un grupo cibercriminal que los analistas de la compañía ya rastreaban desde marzo de 2015. Los ataques de junio parecen ser la operación más reciente llevada a cabo por este grupo.
El malware en el archivo adjunto se basa en el software espía comercial HawkEye que se vende abiertamente en la Darkweb, y ofrece una variedad de herramientas para los ciberatacantes. Después de la instalación, recoge datos interesantes del PC de la víctima, incluyendo:
- Pulsaciones
- Datos del escritorio
- Credenciales del servidor FTP
- Datos de la cuenta de los navegadores
- Datos de la cuenta de clientes de mensajería (Paltalk, Google Talk, AIM ...)
- Datos de la cuenta de clientes de correo electrónico (Outlook, Windows Live Mail ...)
- Información acerca de las aplicaciones instaladas (Microsoft Office)
Estos datos se envían a los servidores de comando y control del actor amenaza. Según la información interceptada de los servidores de comando y control, la mayoría de las víctimas eran organizaciones que trabajan en los sectores industrial y de ingeniería, como transporte, productos farmacéuticos, fabricación, organizaciones educativas y otro tipo de entidades. Todas estas empresas tenían información valiosa que podría venderse posteriormente en el mercado negro.
La Operación Ghoul, así bautizada por el equipo de Kaspersky Lab, es sólo una entre otras varias campañas del mismo grupo. "En el antiguo folclore, Ghoul es un espíritu maligno asociado con el consumo de carne humana y la caza de niños, originalmente un demonio mesopotámico. Hoy en día, el término se utiliza a veces para describir a una persona codiciosa o materialista. Esto es una descripción precisa del grupo que está detrás de la Operación Ghoul. Su principal motivación es el beneficio económico derivado de la venta de la propiedad intelectual robada e inteligencia de negocios, o de ataques a las cuentas bancarias de sus víctimas. A diferencia de los actores patrocinados por Estados, que eligen cuidadosamente los objetivos, este grupo y otros grupos similares podrían atacar a cualquier empresa. A pesar de que utilizan herramientas maliciosas bastante sencillas, son muy eficaces en sus ataques. Así, las empresas que no están preparadas para detectar los ataques, por desgracia acabarán sufriéndolos", afirma Mohammad Amin Hasbini, experto en seguridad de Kaspersky Lab.
Con el fin de proteger su empresa de Operación Ghoul y otras amenazas, los analistas de Kaspersky Lab recomiendan a las empresas implementar las siguientes medidas:
- Educar a su personal para que sean capaces de distinguir un correo electrónico phishing o un enlace de suplantación de identidad de los correos electrónicos reales
- Usar una solución de seguridad corporativa, que combine soluciones dirigidas contra-ataque y sea capaz de captar ataques mediante el análisis de anomalías en la red
- Proporcionar a su personal de seguridad el acceso a los últimos datos de inteligencia deciberamenazas para la prevención y el descubrimiento de ataques dirigidos, como indicadores de reglas de compromiso y Yara
Los productos de Kaspersky Lab detectan el malware utilizado por el grupo detrás de la Operación Ghoul con los siguientes nombres de detección:
- Trojan.MSIL.ShopBot.ww
- Trojan.Win32.Fsysna.dfah
- Trojan.Win32.Generic
