España, entre los afectados por Operación Ghoul, una ciberamenaza dirigida a organizaciones industriales y de ingeniería

Mediante el uso de correos electrónicos de suplantación de identidad ('phishing') y 'malware' basados en un kit de 'software' espía prefabricado, los ciberdelincuentes han interceptado datos valiosos de empresas que estaban almacenados en sus redes.

En total más de 130 organizaciones de 30 países, entre ellos España, Pakistán, Emiratos Árabes Unidos, India, Egipto, Reino Unido, Alemania, Arabia Saudí fueron atacados con éxito por este grupo a través de la Operación Ghoul.

En junio de 2016, desde Kaspersky Lab se detectó una oleada de 'phishing' con archivos adjuntos maliciosos. Estos mensajes se enviaron principalmente a los administradores de nivel superior y medio de numerosas empresas. Los correos electrónicos parecían proceder de un banco en los Emiratos Árabes Unidos: simulaba un aviso de pago del banco con un documento adjunto SWIFT, pero en realidad el archivo adjunto contenía 'malware'.

Lo más probable, creen los analistas, es que la campaña de 'phishing' haya sido organizada por un grupo cibercriminal que los profesionales de la compañía ya rastreaban desde marzo de 2015. Los ataques de junio parecen ser la operación más reciente llevada a cabo por este grupo.

El 'malware' en el archivo adjunto se basa en el 'software' espía comercial HawkEye que se vende abiertamente en la Darkweb, y ofrece una variedad de herramientas para los ciberatacantes. Después de la instalación, recoge datos como pulsaciones, datos del escritorio, credenciales del servidor FTP, datos de la cuenta de los navegadores, datos de la cuenta de clientes de mensajería, datos de la cuenta de clientes de correo electrónico, información acerca de las aplicaciones instaladas, entre otros.

Estos datos se envían a los servidores de comando y control del actor amenaza. Según la información interceptada de los servidores de comando y control, la mayoría de las víctimas eran organizaciones que trabajan en los sectores industrial y de ingeniería, como transporte, productos farmacéuticos, fabricación, organizaciones educativas y otro tipo de entidades. Todas estas empresas tenían información valiosa que podría venderse posteriormente en el mercado negro, según han destacado desde Kaspersky Lab.

"La principal motivación del equipo detrás de la Operación Ghoul es el beneficio económico derivado de la venta de la propiedad intelectual robada e inteligencia de negocios, o de ataques a las cuentas bancarias de sus víctimas", ha explicado el experto en seguridad de Kaspersky Lab, Mohammad Amin Hasbini.

Con el fin de proteger su empresa de Operación Ghoul y otras amenazas, los analistas de Kaspersky Lab recomiendan a las empresas implementar medidas, como educar a su personal para que sean capaces de distinguir un correo electrónico 'phishing' de los correos electrónicos reales, usar una solución de seguridad corporativa y proporcionar a su personal de seguridad el acceso a los últimos datos de inteligencia de ciberamenazas para la prevención y el descubrimiento de ataques dirigidos.