Un grupo de espionaje cibernético descubierto por Symantec al parecer podría responder a la pregunta de cómo Shamoon obtiene las credenciales necesarias para poder llevar a cabo sus ataques.

Symantec descubrió al grupo de Greenbug después de realizar una investigación sobre ataques cibernéticos que eliminaban por completo los archivos de los discos duros involucrando el virus W32.Disttrack.B (también conocido como Shamoon). A pesar de que estos ataques se publicaron extensivamente a través de los medios de comunicación, continúa siendo un misterio descubrir cómo los atacantes lograron robarse las credenciales e introdujeron W32.Disttrack en las redes de las organizaciones objetivo.

Este grupo que está activo desde junio de 2016 dirige sus ataques a un segmento de organización del Medio Oriente que coincidentemente ha sido afectado por los ataques de Shamoon. Greenbug utiliza un troyano de acceso remoto (RAT) personalizado, conocido como Trojan.Ismdoor, así como una selección de herramientas de hacking para robar credenciales confidenciales de diversas compañías.

Aunque no se puede asegurar un vínculo definitivo entre Greenbug y los ataques de Shamoon, si se puede decir que el grupo comprometió un computador de los administradores por medio de la red de una organización antes de que el virus W32.Disttrack.B fuera utilizado en un ataque el 17 de noviembre de 2016. Curiosamente, Ismdoor y las herramientas asociadas descargadas por el troyano que utilizaron cesaron su actividad un día antes de que se realizará el ataque con el virus de Shamoon.

Noticias Relacionadas

Decenas de bancos sufrieron ataques de malware a fines de 20163 min read Symantec identificó más de 2.000 aplicaciones potencialmente afectadas por CloudBleed3 min read Fallos en certificados digitales Symantec1 min read Kaspersky extiende su protección a cajeros automáticos y terminales de puntos de venta4 min read