DEFINICIÓN DEL VIRUS
Tipo de virus: malware/amenaza persistente avanzada (APT)
¿Qué es?
Crouching Yeti es una amenaza que ha participado en varias campañas de amenazas persistentes avanzadas (APT) activas por lo menos desde fines de 2010.
Entre los principales sectores objetivo de esta amenaza se incluyen los siguientes:
- Industrial/maquinaria
- Industria manufacturera
- Industria farmacéutica
- Construcción
- Educación
- Tecnología de la información
Tras una investigación exhaustiva, llegamos a la conclusión de que la mayor cantidad de víctimas identificadas pertenece al sector de fabricación industrial y de maquinaria, lo que indica que se trata de un sector de interés especial.
La amenaza Crouching Yeti utilizó tres métodos para infectar a las víctimas: correos electrónicos de spear-phishing que usaban documentos PDF con un exploit de Adobe Flash incrustado (CVE-2011-0611)
- Instaladores de software infectados con troyanos
- Ataques de waterholing que se servían de diversos exploits reutilizados
Detalles de la amenaza
Crouching Yeti no es una campaña muy sofisticada. Por ejemplo, los atacantes no usaron exploits de día cero, sino solo exploits disponibles de forma generalizada en Internet. Sin embargo, eso no fue impedimento para que la campaña pasara desapercibida durante varios años.
La cantidad total de víctimas conocidas supera las 2800 en todo el mundo; de esta cifra, los investigadores de Kaspersky Lab pudieron identificar 101 organizaciones. Esta lista de víctimas parece apuntar al interés de Crouching Yeti por objetivos estratégicos, pero también demuestra un interés del grupo en diversas otras instituciones no tan evidentes.
Los expertos de Kaspersky Lab creen que puede tratarse de víctimas colaterales, pero también es lógico redefinir a Crouching Yeti no solo como una campaña especialmente dirigida a un área de interés muy específica, sino también como una amplia campaña de vigilancia con intereses en distintos sectores.
¿Cómo puedo saber si fui infectado por Crouching Yeti?
La mejor manera de determinar si fuiste víctima de Crouching Yeti es determinar si se produjo una intrusión. La identificación de amenazas puede ejecutarse con un producto antivirus eficaz, por ejemplo, Kaspersky Anti-Virus.
Los productos Kaspersky Lab detectan el malware que participa en la campaña de Crouching Yeti con las siguientes definiciones de amenazas:
- Trojan.Win32.Sysmain.xxx
- Trojan.Win32.Havex.xxx
- Trojan.Win32.ddex.xxx
- Backdoor.MSIL.ClientX.xxx
- Trojan.Win32.Karagany.xxx
- Trojan-Spy.Win32.HavexOPC.xxx
- Trojan-Spy.Win32.HavexNk2.xxx
- Trojan-Dropper.Win32.HavexDrop.xxx
- Trojan-Spy.Win32.HavexNetscan.xxx
- Trojan-Spy.Win32.HavexSysinfo.xxx
¿Cómo puedo protegerme de Crouching Yeti?
- Mantén todos tus programas de software actualizados. Ninguno de los exploits que utilizaron las amenazas Crouching Yeti fueron ataques de exploit de día cero, por lo que la mayoría de las infecciones se pudo haber evitado mediante el uso de software de terceros actualizado.
- Instala y mantén actualizada tu solución de seguridad para evitar infecciones de virus.
- La educación es un componente importante de la seguridad, particularmente en lo que respecta a los correos electrónicos de spear phishing.