Bogotá. Febrero 28 de 2017.- Symantec reveló que organizaciones de 31 países desde octubre del año pasado, fueron blanco de una nueva ola de ataques. Los cibercriminales usaron sitios web comprometidos "watering holes" o “agujeros de riego” para infectar con malware desconocido, objetivos previamente seleccionados.
Estos ataques fueron identificados, cuando un banco en Polonia descubrió la presencia de un malware desconocido, corriendo en varios de sus computadores. Ante esto, el banco en forma rápida compartió indicadores de compromiso con otras entidades, las cuales descubrieron que sus equipos también habían sido blanco del mismo malware,
Acorde a lo reportado, al parecer la fuente de los ataques proviene del sitio web del ente regulador financiero de Polonia. Los atacantes comprometieron este sitio, redirigiendo a los visitantes a un “exploit kt” que trató de instalar el malware en objetivos determinados.
Colombia, México, Uruguay, Brasil, Chile y Venezuela con intentos de ataques
Symantec ha bloqueado intentos de ataques a clientes en Latinoamérica con el mismo “exploit kit” que afectó a los bancos de Polonia. Desde el pasado mes de octubre, se han bloqueado diversos ataques, entre estos tres en Colombia, 14 en México, 11 en Uruguay, cinco en Brasil y Chile y tres en Venezuela.
Exploit kit personalizado
Los atacantes, al parecer están utilizando sitios web comprometidos para redireccionar a los visitantes a un “Exploit Kit” personalizado, para infectar 150 direcciones IP diferentes que pertenecen a 104 organizaciones de 31 países, las cuales en su mayoría son bancos y unas cuantas empresas de telecomunicaciones e Internet.
Enlaces con Lazarus?
El malware usado en los ataques (Download. Ratankba) no era conocido, aunque fue identificado por Symantec bajo firmas de detección genérica, diseñadas para bloquear cualquier tipo de archivo relacionado con actividades maliciosas.
Si bien, el análisis aún está en desarrollo; algunas secuencias de la cadena de código de este malware comparten puntos comunes con el grupo de amenazas conocido como Lazarus.
Este grupo está asociado a una serie de ataques agresivos desde 2009, principalmente en Estados Unidos, la Unión Europea y Corea del Sur. Igualmente, Lazarus está involucrado en ataques financieros de alto nivel. Algunas de sus herramientas usadas en un asalto a un banco en Bangladesh, comparten similitudes de código con ataques asociados a este grupo.
Symantec afirma que las investigaciones se centran en la búsqueda de más evidencias sobre la identidad y motivos de estos ataques, los cuales están focalizados en afectar al sector financiero en forma creciente.
Por: Redacción Symantec
0 Comentarios
Deje su comentario