Black Vine, gran campaña de espionaje

Palabras clave

Symantec
Autor:
La campaña de ciberespionaje está dirigida al sector aeroespacial y de salud desde 2012
Recomendaciones en seguridad

A principios de este año, la segunda compañía de seguros de salud más grande de los EE.UU. hizo público que fue víctima de un ataque cibernético importante. El ataque contra Anthem dio lugar a la violación de datos de sistemas de salud más grande conocida hasta el momento, con 80 millones de registros de pacientes expuestos.

Symantec cree que los hackers detrás de esta violación son parte del grupo sumamente ingenioso de ciberespionaje llamado Black Vine. El ataque a Anthem es sólo una de varias campañas que Symantec atribuye a este grupo. Por ello, Symantec documenta las múltiples operaciones dirigidas por Black Vine desde 2012.

Destacar que, entre los objetivos de Black Vine incluye fabricantes de turbinas de gas, grandes empresas del sector aeroespacial y de aviación, proveedores de salud, entre otros. El grupo tiene acceso a los exploits de día cero, probablemente obtenidos a través del Elderwood framework, y utiliza malware personalizado de puerta trasera.

Los ataques de Black Vine han liberado exploits, principalmente a través de ataques a los huecos de seguridad, para las siguientes vulnerabilidades de día cero: Black Vine ha comprometido empresas en las siguientes industrias: Aeroespacial, salud, energía (gas y fabricación de turbinas eléctricas), militar y de defensa, finanzas, agricultura y Tecnología La gran mayoría de las infecciones por Black Vine se han dado en los EE.UU., seguidos por China, Canadá, Italia, Dinamarca y la India.

Symantec observó que Black Vine utiliza tres tipos de malware personalizado en sus ataques: Hurix, Sakurel (ambos detectados como Trojan.Sakurel) y Mivast (detectado como Backdoor.Mivast).

Las tres amenazas pueden realizar las siguientes acciones: Abrir una puerta trasera, ejecutar archivos y comandos; borrar, modificar y crear claves del registro así como reunir y transmitir información sobre el equipo infectado. Black Vine está dotado de recursos, ya que el grupo es capaz de actualizar y modificar, con frecuencia, su software para evitar ser detectados.

Por otro lado, Symantec tiene y recomienda las siguientes detecciones de sitio para la protección contra el malware de Black Vine: AV, Backdoor Mivast, Trojan, Sakurel, IPS, System Infected: Trojan.Sakurel Activity.

Contenido relacionado: