Grupo Poseidón, boutique de malware comercial
Lo novedoso del Grupo Poseidón es que es una entidad con fines comerciales, cuyos ataques utilizan malware personalizado firmado digitalmente con certificados falsos.
Kaspersky Lab ha anunciado el descubrimiento del Grupo Poseidón, un actor de amenazas avanzadas activas que lleva operando a nivel global desde 2005, como mínimo. Según la empresa, lo novedoso del Grupo Poseidon es que se trata de una entidad con fines comerciales, cuyos ataques implican malware personalizado firmado digitalmente con falsos certificados. Su objetivo es robar datos confidenciales de las víctimas para obligarlas a establecer relaciones comerciales. Además, el malware está diseñado para funcionar específicamente en equipos Windows en portugués brasileño e inglés.
Se han identificado al menos 35 de las empresas víctima, entre las que se incluyen instituciones financieras y gubernamentales, telecomunicaciones, energía y otras empresas de servicios públicos, así como medios de comunicación y empresas de relaciones públicas. Los analistas de Kaspersky Lab también han detectado ataques a empresas de servicios para altos ejecutivos.
Aunque los objetivos están ubicados principalmente en Brasil, donde muchas de empresas tienen oficinas o partners, también se han encontrado víctimas en los siguientes países:
Una vez que un equipo está infectado, el malware informa a los servidores de comando y control antes de comenzar una fase compleja de movimiento lateral. En esta fase interviene una herramienta especializada que recoge de forma automática un gran flujo de información: credenciales, políticas de gestión de grupos e incluso los logs del sistema para perfeccionar futuros ataques y asegurar la ejecución de los programas maliciosos. Así, los atacantes saben qué aplicaciones y comandos pueden utilizar sin alertar al administrador de la red durante el movimiento lateral y la exfiltración.
Después, la información recopilada se utiliza por una empresa gancho que manipula a la víctima para lograr que contrate los servicios de Poseidón Security como consultora de seguridad bajo la amenaza de utilizar la información robada en favor de Poseidón.
"El Grupo Poseidón es un equipo sólido con muchos años de trayectoria en todos los dominios: tierra, aire y mar. Algunos de sus centros de mando y control se han encontrado en el interior de los ISP que ofrecen servicios de Internet a los barcos en alta mar, en las conexiones inalámbricas, así como los operadores tradicionales", explicó Dmitry Bestúzhev, director de investigación global de Kaspersky Lab América Latina. "Además, la vida útil es muy corta, lo que les ha ayudado a operar mucho tiempo sin ser detectados".
El Grupo Poseidón ha estado activo los últimos 10 años por lo que sus técnicas para diseñar implants han evolucionado, dificultando así la tarea de correlacionar y conectar dichas técnicas al mismo grupo. Aún así, a base de recopilar pruebas y reconstruir la línea del tiempo del atacante y su caligrafía, los expertos de Kaspersky Lab lograron, a mediados de 2015, identificar trazos inconexos y concluir que provenían del mismo actor amenaza, el Grupo Poseidón.
Fuente: DiarioTI
Kaspersky Lab ha anunciado el descubrimiento del Grupo Poseidón, un actor de amenazas avanzadas activas que lleva operando a nivel global desde 2005, como mínimo. Según la empresa, lo novedoso del Grupo Poseidon es que se trata de una entidad con fines comerciales, cuyos ataques implican malware personalizado firmado digitalmente con falsos certificados. Su objetivo es robar datos confidenciales de las víctimas para obligarlas a establecer relaciones comerciales. Además, el malware está diseñado para funcionar específicamente en equipos Windows en portugués brasileño e inglés.
Se han identificado al menos 35 de las empresas víctima, entre las que se incluyen instituciones financieras y gubernamentales, telecomunicaciones, energía y otras empresas de servicios públicos, así como medios de comunicación y empresas de relaciones públicas. Los analistas de Kaspersky Lab también han detectado ataques a empresas de servicios para altos ejecutivos.
Aunque los objetivos están ubicados principalmente en Brasil, donde muchas de empresas tienen oficinas o partners, también se han encontrado víctimas en los siguientes países:
- Estados Unidos
- Francia
- Kazajstán
- Emiratos Árabes Unidos
- India
- Rusia
Una vez que un equipo está infectado, el malware informa a los servidores de comando y control antes de comenzar una fase compleja de movimiento lateral. En esta fase interviene una herramienta especializada que recoge de forma automática un gran flujo de información: credenciales, políticas de gestión de grupos e incluso los logs del sistema para perfeccionar futuros ataques y asegurar la ejecución de los programas maliciosos. Así, los atacantes saben qué aplicaciones y comandos pueden utilizar sin alertar al administrador de la red durante el movimiento lateral y la exfiltración.
Después, la información recopilada se utiliza por una empresa gancho que manipula a la víctima para lograr que contrate los servicios de Poseidón Security como consultora de seguridad bajo la amenaza de utilizar la información robada en favor de Poseidón.
"El Grupo Poseidón es un equipo sólido con muchos años de trayectoria en todos los dominios: tierra, aire y mar. Algunos de sus centros de mando y control se han encontrado en el interior de los ISP que ofrecen servicios de Internet a los barcos en alta mar, en las conexiones inalámbricas, así como los operadores tradicionales", explicó Dmitry Bestúzhev, director de investigación global de Kaspersky Lab América Latina. "Además, la vida útil es muy corta, lo que les ha ayudado a operar mucho tiempo sin ser detectados".
El Grupo Poseidón ha estado activo los últimos 10 años por lo que sus técnicas para diseñar implants han evolucionado, dificultando así la tarea de correlacionar y conectar dichas técnicas al mismo grupo. Aún así, a base de recopilar pruebas y reconstruir la línea del tiempo del atacante y su caligrafía, los expertos de Kaspersky Lab lograron, a mediados de 2015, identificar trazos inconexos y concluir que provenían del mismo actor amenaza, el Grupo Poseidón.
Fuente: DiarioTI
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!