Gaza cybergang, un nuevo grupo cibercriminal que ataca embajadas
El grupo envía activamente archivos de malware al personal de TI y de respuesta a incidentes de las entidades gubernamentales, debido a que suelen tener permisos especiales y acceso a datos sensibles.
- Los cibercriminales amplían sus métodos de ataque
- Cibercriminales ocultos en la red Terracotta
- Las amenazas se han cebado con el sector público en el segundo trimestre
- Termita Azul, el ciberespionaje se dirige hacia las organizaciones japonesas
- Las debilidades de seguridad en redes de satélites globales, escondite de los cibercriminales Turla
Kaspersky Lab advierte sobre la actividad de un grupo cibercriminal de habla árabe bautizado como “Gaza cybergang”, y que está operando en la región MENA (Oriente Medio y Norte de África), principalmente en Egipto, los Emiratos Árabes Unidos y Yemen. El grupo lleva operando desde 2012 y ha llegado a ser particularmente activo en el segundo y tercer trimestre de este año. Los atacantes se centran en las entidades gubernamentales, especialmente las embajadas, sobre todo orientados a personal de TI y de respuesta a incidentes.
Gaza cybergang envía activamente archivos de malware al personal de TI y de respuesta a incidentes, ya que es el que tiene más acceso y permisos dentro de sus organizaciones, debido a que los necesitan para administrar la infraestructura. Es por eso que tener acceso a sus dispositivos tiene más valor para los cibercriminales que los de los usuarios normales de la red corporativa. El personal de respuesta a incidentes también suele tener acceso a datos sensibles relacionados con las investigaciones cibernéticas realizadas en sus organizaciones, así como acceso especial y permisos para detectar actividades maliciosas o sospechosas en la red.
A pesar de dirigirse a entidades de alto nivel, el grupo cibercriminal utiliza conocidas herramientas de administración remota (RAT), como XtremeRAT y PoisonIvy, para propagar infecciones a través de estafas de phishing. A través del uso de estas herramientas de infección simples logran llegar con éxito sus objetivos con trucos de ingeniería social, utilizando nombres de archivos especiales, con nombres de dominio como por ejemplo gov.uae.k * m. Ejemplos de nombres de archivo que han entregado malware a sus víctimas son “Wikileaks documents on Sheikh.exe”, o “Secret_Report.exe”.
"De acuerdo con la lista de objetivos, que incluye entidades gubernamentales de Oriente Medio y Norte de África, estamos presenciando ciberataques por motivos políticos. Al obtener el control de los equipos con mayor acceso al sistema, los ciberdelincuentes aumentan sus posibilidades de robo de información valiosa y son mucho más propensos a causar un daño significativo. Aún no sabemos quién está detrás de él", afirma Mohammad Amin Hasbini, investigador senior de seguridad del equipo de investigación y análisis global de Kaspersky Lab.