Medio Alternativo del Sureste, 19 de julio de 2015.- Investigaciones de Kaspersky Lab revelaron una campaña de ciberespionaje llamada Grabit, que pudo robar al menos 10.000 archivos de pequeñas y medianas empresas, principalmente de Tailandia, India y Estados Unidos. Los sectores objetivo incluyen áreas de química, nanotecnología, educación, agricultura, medios, construcción y otros.
Otros países que también se vieron afectados por esta campaña son Chile, Emiratos Árabes Unidos, Alemania, Canadá, Francia, Israel, Austria, Sri Lanka y Bélgica.
Vemos muchas campañas de espionaje enfocadas en empresas, organizaciones gubernamentales y otras entidades de alto perfil donde rara vez se ven negocios pequeños o medianos en las listas de objetivos. Sin embargo, Grabit demuestra que no se trata solo del juego del ‘pez grande’, en el mundo cibernético cada organización, que tenga dinero, información o influencia política, podría ser del interés potencial de uno u otro actor malicioso. Grabit sigue activo y es crucial que las pymes revisen su red para asegurar que no haya sido afectada. El 15 de mayo se encontró que un registrador de teclas de Grabit estaba registrando miles de credenciales de cuentas de víctimas de cientos de sistemas infectados. Esta amenaza no se debe subestimar», dijo Ido Noar, Investigador Senior de Seguridad del Equipo de Análisis e Investigación Global de Kaspersky Lab.
El inicio de la infección se da cuando un usuario al interior de la organización recibe un correo electrónico con un archivo adjunto que tiene la apariencia de un documento de Word (.doc) de Microsoft Office. Al hacer clic para descargarlo, el programa de espionaje entra a la máquina a través de un servidor remoto que ha sido hackeado por el grupo de espionaje, para que sirva como contenedor del malware.
Los atacantes controlan a las víctimas mediante un registrador de teclas HawkEye y un módulo de configuración que contiene varias Herramientas de Administración Remota (RATs).
Para mostrar el impacto de este tipo de espionaje, Kaspersky Lab reveló que un registrador de teclas ubicado en un solo servidor de comando y control fue capaz de robar 2.887 contraseñas, 1.053 correos electrónicos y 3.023 nombres de usuario de 4.928 cuentas diferentes incluyendo Outlook, Facebook, Gmail, Skype, Yahoo!, Pinterest, Twitter, Linkedin, cuentas bancarias, entre otros.
Sin embargo, expertos identificaron que los actores detrás de Grabit no se preocupan por ocultar su identidad, por ejemplo, muchas de las muestras maliciosas utilizaron el mismo servidor y las mismas credenciales, dejando en evidencia su información. Pero por otra parte, los atacantes realizan acciones para mantener oculto su código de analistas de seguridad. Estos dos aspectos dejan claro que a pesar de sus ataques, este grupo tiene algunas debilidades que pueden rastrearse para proteger la información.
Para protegerse contra un posible ataque de Grabit, Kaspersky Lab brinda los siguientes consejos:
• Revise esta ubicación: C:\Users\\AppData\Roaming\Microsoft, si contiene archivos ejecutables, usted podría estar infectado con el malware. Esto es una advertencia que no se debe ignorar.
• Las Configuraciones del Sistema Windows no deben contener un archivo ejecutable grabit1.exe en la tabla de arranque. Ejecute «msconfig» y asegúrese que no contenga los registros de grabit1.exe.
• No abra archivos anexos y enlaces de personas que no conozca, si no los puede abrir, no los envíe a otros, solicite asistencia a un administrador de TI.
• Utilice una solución avanzada antimalware actualizada y siempre siga la lista de tareas del antivirus para procesos sospechosos.