El dominio de Poseidón

En el SAS 2016, los investigadores de Kaspersky Lab hablaron acerca del descubrimiento re-ciente del Grupo Poseidón. Un negocio de APT hechas a medida, en busca de información co-mercial de gran valor.

Atrás quedaron los días en que los hackers creaban malware solo por diversión. Hoy en día, el propósito del malware no es solo el de inhabilitar un equipo, como lo era antes, ahora el objetivo de los creadores de malware es de infectar tu equipo solo por dinero. El cibercrimen tiene una industria propia en la que participan tanto grandes como pequeños “jugadores”. Nuestros expertos de GReAT han descubierto recientemente otro “jugador”, el llamado Grupo Poseidón. Sus investigaciones sobre este grupo se presentaron en el Security Analyst Summit 2016.

Aunque la investigación has sido presentada en el 2016, el grupo no es nuevo en realidad. Al parecer, han estado activos desde el 2005. La primera muestra de malware Poseidón que se encontró se remonta al año 2001 y solo estaba dirigido a los equipos basados ​​en Windows, desde Windows 95 a Windows 8.1, y las últimas muestras fueron descubiertas en Windows Server 2012. El grupo muestra especial interés en las redes basadas en dominios, típicas de las grandes empresas.

¿Cómo ataca Poseidón?

Los ataques por lo general se inician con spear phishing, un término muy frecuente que se refiere a la suplantación de identidad dirigida a ciertos individuos concretos, por lo que no implica llevar a cabo una campaña masiva de spam. Por lo tanto, los criminales suelen recurrir a la ingeniería social para convencer a la víctima para que abra un archivo malicioso.

Cuando la víctima descarga el archivo malicioso, que suele tratarse de un archivo en formato DOC o RTF que contiene el malware incrustado, su equipo está en peligro. Las características de Poseidón hacen saltar la alarma de muchos antivirus, por lo que, o trata de ocultarse de ellos o ataca a estos procesos como forma de autodefensa.

A continuación, el malware instalado en el equipo establece una conexión con un servidor de mando y control. Los atacantes realizan un movimiento lateral, recogiendo una gran cantidad de información y buscando la forma de aprovechar los privilegios de acceso para generar un mapa de red con el fin de encontrar el equipo exacto que están buscando. Su objetivo principal suele ser el servidor del controlador de dominio de Windows con el propósito de llevar a cabo el robo de la propiedad intelectual, los secretos profesionales y otros datos de importancia comercial.

Estos ataques son personalizados. A pesar de que la etapa inicial suele ser la misma, todo lo que ocurre a continuación está diseñado específicamente para cada víctima, es por eso, que nuestro equipo de GReAT definió a Poseidón como “un negocio de implantes de malware hechos a medida”. Esta es la razón principal por la que se tardó mucho tiempo en unir las piezas del rompecabezas y darse cuenta de que todos los ataques, que parecían tener un origen distinto, pertenecían a un mismo grupo que estaba en la sombra.

La información que obtuvo Poseidón se utilizó para chantajear a las víctimas con el fin de convencerles para que les contrataran como sistema de seguridad. Sin embargo, esto no les impedía seguir con sus ataques o iniciar otros dirigidos a las mismas empresas. En esta campaña no hay ningún gobierno envuelto, Poseidón solo ha mostrado interés en la recopilación de datos comerciales de gran valor. Creemos que también se ha vendido información a otras entidades interesadas y con dinero suficiente para pagar por ello.

Todos los productos de Kaspersky Lab están familiarizados con todas las amenazas conocidas de Poseidón y las detectan como Backdoor.Win32.Nhopro, HEUR:Backdoor.Win32.Nhopro.gen o HEUR:Hacktool.Win32.Nhopro.gen

Lo que hace que Poseidón sea especial es que se trata del primer “jugador” del mercado de las APT que tiene como objetivos principales a las empresas o negocios de habla portuguesa que hacen negocios en Brasil. También cuenta con víctimas en Francia, India, Kazajistán, Rusia, los Emiratos Árabes Unidos y los Estados Unidos de América.

Hasta el momento se han registrado al menos 35 víctimas entre las que se incluyen instituciones financieras y gubernamentales, empresas de energía, telecomunicación, fabricantes y agencias y medios de comunicación. Debido a que es difícil distinguir un ataque del Grupo Poseidón de otros ataques de malware, debido a su carácter sigiloso y personalizado, los investigadores de GReAT creen que la cifra de víctimas es mayor, sin embargo, ahora mismo es imposible identificarlas con precisión.

Kaspersky Lab está trabajando junto a las víctimas que actualmente tienen una infección activa para poder elaborar informes de inteligencia y medidas de asistencia, con el fin de proporcionar ayuda frente a esta amenaza. Hemos podido debilitar varios servidores de mando y control, pero el Grupo Poseidón los cambia con frecuencia, por lo que, por ahora, permanecen activos.

Esta campaña cibernética es un claro ejemplo de la importancia de llevar a cabo buenas políticas de seguridad de la información y de la necesidad de contar con soluciones de seguridad adecuadas para las grandes empresas. Síguenos para aprender más acerca de las nuevas APT, seguiremos prestando mucha atención a este tema en concreto, como hicimos en el SAS 2016.

Consejos