El sector Utilities en la mira de los cibercriminales

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

En julio pasado, Cisco informó acerca de los ataques basados ​​en correo electrónico dirigidos a las empresas de “utilities” usando un juego de herramientas llamado Phishery.

Algunos de los correos electrónicos enviados en 2017 que fueron analizados y también utilizaron el kit de herramientas de Phishery (Trojan.Phisherly) para robar las credenciales de las víctimas a través de un ataque de inyección. Este conjunto de herramientas estuvo disponible para todo el público en GitHub a fines de 2016,

Además de enviar correos electrónicos infectados, los atacantes también usaron ataques de ingeniería social, con técnicas de infección selectiva en el código para recolectar credenciales de la red, al comprometer sitios web que probablemente fueran visitados por los involucrados que desarrollan tareas en empresas de “utilities”.

Las credenciales robadas se utilizaron luego en los ataques de seguimiento contra las organizaciones objetivo.

En un caso, después de que una víctima visitó uno de los servidores comprometidos, Backdoor.Goodor se instaló en su máquina a través de PowerShell 11 días después.  (con técnicas de demora en la instalación)

Backdoor.Goodor proporciona a los atacantes acceso remoto a la máquina de la víctima.

En 2014 hemos visto grupos maliciosos comprometer software legítimo para entregar malware a las víctimas, una práctica que también se utilizó en las campañas anteriores de 2011.

En las campañas enfocadas al sector de utilities de 2016 y 2017, estos grupos utilizaron el marco de evasión Shellter para hacer el deploy de aplicaciones que eran troyanos.

En particular, Backdoor.Dorshel se entregó como una versión con troyano de las aplicaciones estándar de Windows.

Habitualmente, los cibercriminales instalan una o dos puertas traseras en las computadoras de las víctimas para darles acceso remoto y permitirles instalar herramientas adicionales si es necesario. Goodor, Karagany.B y Dorshel son ejemplos de puertas traseras utilizadas, junto con Trojan.Heriplor.

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS