El grupo Greenbug podría responder a la pregunta de cómo Shamoon obtiene las credenciales necesarias para llevar a cabo sus ataques de borrado de disco.
Lima, Perú, 02 de Febrero del 2017.— Un grupo de espionaje cibernético descubierto por Symantec al parecer podría responder a la pregunta de cómo Shamoon obtiene las credenciales necesarias para poder llevar a cabo sus ataques.
Symantec descubrió al grupo de Greenberg después de realizar una investigación sobre ataques cibernéticos que eliminaban por completo los archivos de los discos duros involucrando el virus W32.Disttrack.B (también conocido como Shamoon).
A pesar de que estos ataques se publicaron extensivamente a través de los medios de comunicación, continúa siendo un misterio descubrir cómo los atacantes lograron robarse las credenciales e introdujeron W32.Disttrack en las redes de las organizaciones objetivo.
Este grupo que está activo desde junio de 2016 dirige sus ataques a un segmento de organización del medio oriente que coincidentemente ha sido afectado por los ataques de Shamoon. Greenbug utiliza un troyano de acceso remoto (RAT) personalizado, conocido como Trojan.Ismdoor, así como una selección de herramientas de hacking para robar credenciales confidenciales de diversas compañías.
Aunque no se puede asegurar un vínculo definitivo entre Greenbug y los ataques de Shamoon, si se puede decir que el grupo comprometió un computador de los administradores por medio de la red de una organización antes de que el virus W32.Disttrack.B fuera utilizado en un ataque el 17 de noviembre de 2016.
Curiosamente, Ismdoor y las herramientas asociadas descargadas por el troyano que utilizaron cesaron su actividad un día antes de que se realizará el ataque con el virus de Shamoon.
Para obtener más información sobre el grupo Greenberg, lea nuestro blog: Greenbug cyberespionage group targeting Middle East, possible links to Shamoon.
Para comentar debe estar registrado.