Ciberespionaje a organizaciones en Guatemala

Una compañía líder de detección de amenazas, descubrió un grupo de ciberdelicuentes que se encuentra detrás de los ataques informáticos a misiones diplomáticas. Los análisis concluyen que el malware Ketrican es el responsable del ciberespionaje en el año 2015, y el malware Okrum, cuyos ataques sucedieron en el año 2017.

La compañía identificó nuevas versiones del malware creado por el grupo Ke3chang, así como un backdoor, que permite acceder remotamente a sistemas informáticos vulnerados, desarrollado por el mismo grupo de ciberdelincuentes.

El backdoor encontrado por los investigadores, fue detectado por primera vez a finales del año 2016 y se ha observado la actividad de ciberspionaje contra misiones gubernamentales y diplomáticas en Guatemala y otros países.

La investigación inició en el año 2015, cuando detectaron actividades sospechosas de un malware presente en diferentes países. Una vez analizado el malware, se identificó como responsable al grupo Ke3chang y nombraron a estas nuevas versiones de malware como Ketrican.

En el año 2016, se descubrió una amenaza desconocida hasta la fecha pero que tenía los mismos objetivos que Ketrican, a este backdoor, activo a lo largo del año 2017, se le denominó Okrum.

Los ciberdelincuentes utilizaban un archivo de imagen PNG aparentemente inofensivo que incluso podía ser abierto por un visor de imágenes sin levantar sospechas. Sin embargo, el malware extraía de dicho archivo su carga maliciosa para completar el ataque a su objetivo.

Los ciberdelincuentes intentaban ocultar el tráfico que generaba el malware contra su servidor de mando y control camuflándo el ciberespionaje como si fuese tráfico habitual, utilizando nombres de dominio aparentemente legítimos.

Finalmente, cada pocos meses los criminales modificaban la forma en que se instalaba, y cargaba Okrum y sus componentes para evitar su detección.

Fuente: De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2019/07/18/okrum-backdoor-grupo-ke3chang-utilizado-atacar-misiones-diplomaticas/

Scroll al inicio