¿Qué es y cómo arremete el malware de Poseidón?

Juan José López Torres @jjlopezt

Las empresas de habla inglesa y portuguesa en Brasil enfrentan una nueva amenaza cibernética proveniente de una organización criminal de larga data que secuestra los datos para mercadearlos al mejor postor.

Desde 2005, el Grupo Poseidón se lucra del ciberespionaje empresarial, especialmente en los sistemas operativos Windows en inglés y portugués brasileño que a la fecha ha tenido como blanco a 35 empresas de verticales altamente lucrativas, como de servicios públicos, financieras y medios de comunicación.

Lo que ha dado la supervivencia de esta boutique de malware, según un comunicado de Kaspersky Lab, ha sido la forma en que ha operado a lo largo de los últimos 11 años: técnicas que han evolucionado y que dificultan unificar todos los hallazgos posibles.

Le será útil: 8 maneras de defenderse de spyware, malware y ransomware

“Se encontró que varios de sus implantes tenían una vida útil muy corta, lo cual contribuyó a que este Grupo haya podido operar durante mucho tiempo sin ser detectado”, dijo Dmitry Bestuzhev, Director del Equipo de Análisis e Investigación Global de Kaspersky Lab América Latina, según cita el comunicado.

Grupo Poseidón es una entidad comercial que ataca con malware firmado digitalmente con certificados falsos para robar datos confidenciales y obligar a las víctimas a establecer una relación de negocios. Algunas de esas víctimas radican en Estados Unidos, Francia, Kazajstán, Emiratos Árabes Unidos, India y Rusia, dijo Kaspersky.

Así es como arremete

El malware explota las redes corporativas mediante correos electrónicos de spear-phishing, es decir, una estafa para acceder de forma ilegal a datos confidenciales de los departamentos de recursos humanos, mediante documentos .RTF o .DOC desde los que deposita un binario malicioso en el sistema.

Luego, se comunica con el servidor de comando y control previo a iniciar la fase compleja de movimiento lateral, mediante una herramienta que toma de forma automática toda la información posible para perfeccionar los ataques consecutivos, entre ella credenciales, políticas de gestión de grupos y registros del sistema.

Con dichos datos, los atacantes conocen a detalle las aplicaciones y comandos que no alertarán al administrador de la red en el movimiento lateral, agregó Kaspersky.

Una vez recopilada la información, los ciberdelincuentes inician la negociación con la víctima para que contraten a Grupo Poseidón como consultor de seguridad y bajo amenazas de usar los datos robados en otros negocios ilegales.

Además: Las 5 fases de infección de un malware

“El Grupo Poseidón es un equipo de muchos años que opera en todos los dominios: tierra, aire y mar. Algunos de sus centros de comando y control se han encontrado dentro de ISPs que ofrecen servicios de Internet a buques en el mar, conexiones inalámbricas, así como dentro de ISPs de operadores tradicionales”, dijo Bestuzhev.

A pesar de lo anterior, Kaspersky confirmó haber recopilado evidencias suficientes para correlacionar distintos ataques para eliminar distintos componentes del Grupo que ya han afectado a empresas de energía, organismos gubernamentales, industria de manufactura, fábrica de recursos naturales y empresas de servicios a empresarios.

Leave a comment

Send a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *