Un grupo de cibercriminales ha lanzado una operación cibercriminal internacional que ha puesto en peligro la seguridad de los datos que guardan más de 130 organizaciones, compañías e industrias de 30 países del mundo.
Los atacantes están utilizando estafas dirigidas, conocidas con el nombre de “spear-phishing”, para engañar a los empleados de mayor rango de las compañías y manipularlos para que les abran camino hacia los sistemas de sus víctimas, que son escogidas e investigadas con cuidado para aumentar la credibilidad y el éxito de las estafas.
Kaspersky Lab descubrió la operación, llamada “Operación Ghoul”, que tiene el propósito de convencer a las víctimas para que pulsen en un enlace malicioso o descarguen un archivo adjunto nocivo para infectar los ordenadores corporativos. Para lograrlo, los atacantes se hacen pasar por bancos en el Medio Oriente que urgen a sus víctimas a seguir unas “instrucciones de pago”, que en realidad son una trampa para descargar el programa malicioso.
El malware captura contraseñas, las teclas que se pulsan en el teclado e imágenes de la pantalla. También recopila los datos del clipboard, las credenciales FTP FileZilla, los datos de cuenta del navegador, información sobre clientes de mensajería, servicios de correo y datos de licencia de algunas aplicaciones.
Se cree que el ataque tiene la meta de vender datos corporativos que podrían ser de gran valor para agentes externos ansiosos por averiguar las estrategias corporativas de sus rivales o robar los avances de sus propiedades intelectuales. “Desde el principio de sus actividades, las motivaciones de los atacantes parecen ser financieras, ya sea mediante las cuentas bancarias de las víctimas o vendiendo la propiedad intelectual al mejor postor”, explicó Amin Hasbini, investigador de seguridad de Kaspersky Lab.
La mayoría de los ataques se ha detectado en el Oriente Medio, y por el momento se han descubierto casos en 30 países del mundo. La operación está activa desde marzo de 2015, pero han aumentado su intensidad hasta convertirse en una amenaza notable a partir de julio de este año.
Los atacantes no distinguen entre compañías pequeñas y grandes. Sus víctimas son muy diversas, entre las más afectadas se encuentran industrias petroquímicas, energéticas y de tecnología, enfocadas en construcción, arquitectura, transportes e ingeniería aérea. Tambié se han visto ataques a industrias farmacéuticas y entidades educativas.
“La Operación Ghoul es uno de los muchos ataques en la red que atacan a las organizaciones industriales, de producción e ingeniería”, dijeron los expertos de Kaspersky Lab. “Kaspersky Lab recomienda a los usuarios que tengan mucho cuidado cuando revisen sus correos y abran archivos adjuntos. Además, los usuarios con acceso privilegiado a los sistemas deben estar entrenados para que estas amenazas no los tomen por sorpresa. Caso contrario, la vulnerabilidad humana suele causar filtraciones de datos privados y corporativos, pérdidas financieras y daños profundos en la reputación de la empresa”.
Fuentes
La Operación Ghoul asedia a industrias en 30 países en busca de sus datos