0

#KLSEC Kaspersky Lab descubre al grupo cibercriminal Saguaro

dmitybestuzhev

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab

Fueron muchas las novedades recibidas, en materia informativa, en la 6ta. Cumbre Latinoamericana de Analistas de Seguridad de Kaspersky Lab llevada a cabo en Los Cabos, México.  Una de estas fue la presentación de Saguaro, grupo cibercriminal al que el fabricante ruso decidió investigar y presentar los resultados de su estudio.

Para que tengan una idea inicial: Saguaro opera desde 2009, su enfoque principal es México, ha logrado llegar a más de 120 mil personas, hasta la fecha continua atacando y el vector  inicial de acercamiento a sus víctimas es el correo electrónico, así lo explicó Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky Lab, destacando que lo que el atacante quiere es: robar la información, explorar el disco duro cuando lo desee, e incluso, manejar remotamente las máquinas infectadas.

“98% de las víctimas se encuentran en México; del restante 2%, Colombia tiene 30%, y en cifras menores Brasil, Estados Unidos, Venezuela, República Dominicana, España e incluso Rusia. Saguaro no solo causa daños a las personas sino también a las empresas. Hemos encontrado las huellas de Saguaro dentro de máquinas de instituciones; es decir, la víctima ya no solo es la persona sino también la estación de trabajo. No es considerado un APT y el idioma de los atacantes es el español”, resumió Bestuzhev.

Explicó además su modus operandi: Todas las víctimas reciben un mensaje cuyo contenido es variable, acorde con el género y edad. Cada correo electrónico viene acompañado de un archivo adjunto que la persona tiene que abrir, algo que se logra gracias a la personalización de este mensaje. Al abrir el documento y darle click, se descarga una ‘carga maliciosa’, un ejecutable que tiene tres módulos principales: El módulo espía, el módulo vector y el módulo de gestión remota (RAT).

A continuación, en estos tres interesantes videos escuchemos el alcance, la peligrosidad y la forma de actuar de la organización Saguaro de boca de Dmitry Bestuzhev:

Video 1/3



Video 2/3



Video 3/3

 

¿Qué logra Saguaro una vez que ataca los equipos?
-Espiar las contraseñas de todo tipo o elementos importantes que son guardados en el navegador.

-Roba los datos de las redes privadas virtuales (VPN) guardadas en el equipo.

– Roba los datos  y las contraseñas de las redes WiFi guardadas en el equipo. También roba los datos de los clientes FTP, acceso al correo electrónico, acceso a la nube e incluso el acceso a la libreta de direcciones.

-Cuando Saguaro se aloja en los servidores utiliza una técnica muy simple, su extensión no es exe sino gif. Así, cuando un administrador de red ve un archivo llamado logo.gif no se levantan muchas sospechas.

-Utiliza dos tipos de servidores. Unos son los servidores legítimos hackeados, y servidores especialmente comprados para sus campañas especiales.

-Cuando se lanza el ataque, la tasa de detección es baja. De los 54 antivirus que se encuentran en Virus Total la tasa de detección es como máximo de 17%, e incluso hay casos en el que algunas muestras fueron detectadas por un solo antivirus de los 54. Esto nos dice que las muestras pasaron por un proceso de ‘filtrado’ antes de ser lanzadas contra las víctimas.

-Los cibercriminales detrás de Saguaro tienen bitcoins y conexiones RDP (remote desktop protocol) -que es lo que utilizan los administradores para conectarse a una máquina a la que quieren darle soporte técnico- lo pueden usar como trampolín para llegar a muchos otros equipos.

-El malware también verifica si la víctima conecta a su máquina los dispositivos de Samsung y Apple a través del puerto USB.

Ordenado por: Eventos Intern., Malware Tags: ,

Contenidos recomendados...

Comparta esta publicación

Artículos relacionados

Escriba su comentario

Ud. tiene que estar conectado para publicar comentarios.

Red de publicaciones IDG en Latinoamérica: Computerworld Ecuador - Computerworld Colombia - CIO Perú // Contáctenos
© 2017 Computerworld Venezuela - All rights reserved ---- WordPress - Tema adaptado por GiorgioB