Grabit: una nueva campaña de ciberespionaje dirigida a PYMES
La campaña demuestra que cualquier organización que posea dinero, información o alguna influencia política, puede ser de interés potencial para un cibercriminal. Kaspersky Lab alerta que esta amenaza no debe ser subestimada.
- Las redes aisladas de Internet, objetivo de los hackers y el ciberespionaje
- Las tácticas del ciberespionaje se modernizan
- Descubren un grupo de ciberespionaje que ha estado activo cerca de dos décadas
- Volatile Cedar, campaña de ciberespionaje con posibles vínculos con grupos políticos de El Líbano
- El ciberespionaje político e industrial "cada vez es más intenso"
Kaspersky Lab ha descubierto recientemente una nueva campaña de ciberespionaje orientada a empresas llamada Grabit, la cual ha sido capaz de robar cerca de 10.000 archivos de pequeñas y medianas empresas, en su mayoría de Tailandia, la India y los Estados Unidos, aunque también se han visto afectadas empresas de Alemania, Israel, Canadá, Francia, Austria, Sri Lanka, Chile y Bélgica. La lista de los sectores objetivo de Grabit incluye los de productos químicos, nanotecnología, educación, agricultura, medios de comunicación y construcción.
"Vemos una gran cantidad de campañas de espionaje dirigidas a corporaciones, organizaciones gubernamentales y otras entidades de alto perfil, pero rara vez las pequeñas y medianas empresas se ven en las listas de objetivos. Grabit demuestra que el cibercrimen no es sólo un juego de "peces grandes", y que, en el mundo cibernético, cualquier organización que posea dinero, información o alguna influencia política, puede ser de interés potencial para un actor malicioso”, explica Ido Naor, investigador senior de seguridad del Equipo de Análisis e Investigación Global de Kaspersky Lab.
La infección se inicia cuando un usuario empresarial recibe un correo electrónico con un archivo adjunto que parece ser un archivo de Microsoft Office Word (.doc). Si el usuario hace clic para abrirlo, el programa de espionaje se descarga en su ordenador desde un servidor remoto, que ha sido hackeado por el grupo para servir como un centro de malware. Los atacantes controlan a sus víctimas utilizando el keylogger HawkEye, una herramienta de espionaje comercial de HawkEyeProducts, y un módulo de configuración que contiene una serie de herramientas de administración remota (RAT).
Según datos de Kaspersky Lab, un keylogger en sólo uno de los servidores de comando y control fue capaz de robar 2.887contraseñas, 1.053 correos electrónicos y 3.023 nombres de usuario de 4.928 hosts diferentes, incluyendo Outlook, Facebook , Skype, Google mail, Pinterest, Yahoo, LinkedIn y Twitter, así como cuentas bancarias y otros.
“Grabit sigue activo, y es de importancia crítica que las empresas comprueben su red para asegurarse de que están a salvo. Esta amenaza no debe ser subestimada", concluye Ido Naor.