El grupo detrás de Trojan Gatak (Trojan.Gatak) continúa siendo una amenaza para las compañías, especialmente para el sector salud, fuertemente impactado por los ataques.

Gatak es conocido por infectar a sus víctimas por medio de sitios web que prometen claves de licencias de producto para software pirata.

Si bien el grupo se enfocó inicialmente en blancos en los Estados Unidos, a lo largo de los últimos dos años se ha diversificado y los ataques se llevan a cabo ahora contra compañías en varios países.

El área de la salud continúa siendo la más afectada

La mayor parte de las infecciones de Gatak (62%) ocurre en computadoras corporativas. El análisis de recientes ataques corporativos indica que el sector de la salud es, sin lugar a dudas, el más impactado por Gatak. De las 20 principales compañías más afectadas (compañías con más computadoras infectadas), 40% eran en el sector de la salud. En el pasado, el sector de seguros también quedó fuertemente en la mira del grupo.

Distribución por sector de las compañías con mayor impacto de infecciones.

Sitio web de generación de claves para licencias usado para atraer a las víctimas inocentes

Las víctimas de Gatak son infectadas usando sitios web que ofrecen generar claves para licencias de productos o “keygens” de software pirata. El malware es empaquetado con la clave del producto y, si la víctima es inducida a bajar y abrir uno de esos archivos, el malware se instala clandestinamente en su computadora.

Sitio web malicioso de generación de claves de licencias que ofrece una clave de un producto para la versión pirata de SketchList3D. Los visitantes que descargan de una licencia son infectados por Gatak.

Los responsables del ataque parecen enfocarse en ofrecer claves de producto para softwares que son más probables que se utilicen en entornos profesionales. Los sitios web usados en los ataques son controlados por los grupos de ataque y no tienen relación con los desarrolladores del software. En ningún momento se comprometen las versiones legítimas del software. Entre las marcas de softwares usadas como anzuelos se han identificado:

1. SketchList3D (software de diseño para carpintería)
2. Native Instruments Drumlab (software de ingeniería de audio)
3. BobCAD-CAM (software de manufactura/metalúrgica)
4. BarTender Enterprise Automation (software de creación de etiquetas y código de barras)
5. HDClone (utilitario de clonaje de disco rígido)
6. Siemans SIMATIC STEP 7 (software de automación industrial)
7. CadSoft Eagle Professional (software de diseño de placa de circuito impreso)
8. PremiumSoft Navicat Premium (software de administración de base de datos)
9. Originlab Originpro (software gráfico para análisis de datos)
10. Manctl Skanect (software de digitalización 3D)
11. Symantec System Recovery (software de backup y recuperación de datos; ahora parte de Veritas)

Las claves de producto bajadas a partir de estos sitios no funcionan y simplemente generan una secuencia pseudoaleatoria de caracteres. Eso significa que todo lo que la víctima recibe con la descarga es un archivo inútil y una posible infección de Gatak.

Herramientas de malware

Trojan Gatak (también conocido por Stegoloader) ha sido utilizado en ataques por lo menos desde 2011. Existen dos componentes principales de malware. Un módulo de implementación leve (Trojan.Gatak.B) puede realizar una identificación detallada del sistema en las computadoras infectadas e instalar selectivamente cargas adicionales. El módulo principal (Trojan.Gatak) es un verdadero Troyano de backdoor, que mantiene una presencia persistente en una computadora infectada y roba su información.

Una característica notable de Gatak es el uso de esteganografía, una técnica que esconde datos dentro de archivos de imagen. Cuando Gatak se instala en una computadora, intenta bajar un archivo de imagen PNG de una serie de direcciones URL codificadas en el malware. La imagen se parece a una fotografía común, sin embargo, contiene un mensaje cifrado dentro de sus datos de pixel. Trojan Gatak es capaz de decodificar este mensaje, que contiene comandos y archivos para su ejecución.

Movimiento a través de redes comprometidas

En casi el 62% de los incidentes, el movimiento lateral en la red de la víctima se produce dentro de las dos horas tras la infección. En los casos restantes, el movimiento lateral se inició en algún momento después de dos horas. La variación indica que el movimiento lateral no es automático, sino que se ejecuta manualmente por los grupos de ataque. No se sabe con precisión si los grupos de ataque poseen los recursos para explorar todas las infecciones inmediatamente o si ellos priorizan algunas infecciones sobre otras.

Poco se sabe acerca de cómo los grupos de ataque se mueven en la red de una compañía. La explicación más probable es que ellos exploran contraseñas débiles y una seguridad pobre en archivos compartidos y en las unidades de red. No existe evidencia de ataques de día cero o que se empleen herramientas sofisticadas de hacking.

En algunos casos, los grupos de ataque infectaron computadoras con otros tipos de malware, incluso varias variantes de ransomware y el Troyano financiero Shylock (Trojan.Shylock). En el caso de Shylock, estas parecen ser versiones más antiguas de la amenaza y pueden incluso ser infecciones de “bandera falsa”. Pueden utilizarse ?por el grupo cuando creen que su ataque fue descubierto, a fin de engañar a los investigadores.

¿Por qué el área de la salud?

Poco se sabe acerca del grupo responsable de Gatak, si bien la naturaleza corporativa de sus blancos, en conjunto con la ausencia de vulnerabilidades de día cero o módulos de malware avanzados, sugieren que pueden ser cibercriminales en su esencia, aunque también existen recursos dentro del malware para operaciones más tradicionales de espionaje.

No está claro como Gatak está obteniendo lucro con sus ataques. Una posibilidad es el robo de datos, con los grupos de ataque vendiendo información de identificación personal y otros datos robados en el cibermercado clandestino. Esto podría explicar el foco determinado de los grupos de ataque en el sector de la salud, pues los registros con información de salud normalmente se venden a mejores precios comparados con otra información personal.

Sin embargo, los medios de distribución de Gatak, a través de sitios de generación de claves de licencia, indican que los grupos de ataque pueden ser más oportunistas. Al utilizar un abordaje watering-hole, los grupos de ataque desempeñan un papel en gran parte pasivo, con relativamente poco control sobre quien es infectado. Si este es el caso, el sector de la salud puede simplemente ser el más susceptible a este tipo de ataque.

Las compañías de salud muchas veces pueden estar bajo presión, con pocos recursos, y muchas usan sistemas de software legados cuyas actualizaciones son muy caras. Por consiguiente, los profesionales podrían ser más propensos a tomar atajos e instalar software pirata. Si bien parece que las compañías de otros sectores se infectan con menos frecuencia, los grupos de ataque no parecen ignorar o remover esas infecciones cuando se producen.

La vigilancia continua es necesaria

Desde que surgió por primera vez hace cinco años, el grupo Gatak llevó a cabo un flujo constante de ataques y el Troyano representa una seria amenaza para cualquier compañía, especialmente en el sector de la salud. Gatak proporciona un aviso oportuno de que el uso de software pirata puede comprometer la seguridad, así como crear problemas legales para una compañía. Junto con el uso de una solución de seguridad robusta, las compañías deben auditar regularmente el software usado en su red y educar a los empleados acerca de los peligros del uso de software pirata o no aprobado.

Noticias Relacionadas

Dispositivos móviles y riesgos de seguridad3 min read 16 consejos para identificar amenazas internas en las empresas4 min read ¿Cómo funciona Axis Perimeter Defender?1 min read Symantec identificó más de 2.000 aplicaciones potencialmente afectadas por CloudBleed3 min read