Symantec da a conocer un ataque dirigido a Anthem, la segunda compañía de seguros de salud más grande de los EE.UU, el cual fue ejecutado por hackers pertenecientes al grupo de ciberespionaje “Black Vine”, dedicado a robar información de fabricantes de turbinas de gas y grandes empresas del sector aeroespacial y de aviación.
Resalta que el reciente ciberataque se trata del robo de datos de sistemas de salud más grande conocido hasta el momento, con 80 millones de registros de pacientes expuestos.
El último whitepaper de Symantec documenta las múltiples operaciones dirigidas por Black Vine desde 2012.
Symantec señala que Black Vine es un grupo de ataque con grandes recursos y equipado para llevar a cabo ciberespionaje contra organizaciones específicas. A juzgar por los últimos tres años y las múltiples industrias objetivo, la marca cree que la actividad maliciosa de Black Vine continuará.
“Esperamos que nuestro whitepaper permita a las organizaciones comprender mejor el riesgo que este grupo representa, ayudándoles a desarrollar barreras más fuertes para proteger su información sensible”, informa la empresa de seguridad.
Industrias objetivo de Black Vine:
- Aeroespacial.
- Salud.
- Energía (gas y fabricación de turbinas eléctricas).
- Militar y de defensa.
- Finanzas.
- Agricultura.
- Tecnología.
Indica que el grupo tiene acceso a exploits de día cero, probablemente obtenidos a través del Elderwood framework, y utiliza malware personalizado.
Hasta la fecha han liberado exploits a través de ataques a los huecos de seguridad, para las siguientes vulnerabilidades de día cero:
- Microsoft Internet Explorer ‘CDwnBindInfo’ Use-After-Free Remote Code Execution Vulnerability (CVE-2012-4792).
- Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322).
En sus campañas, Black Vine comprometió sitios web legítimos, que eran de interés para sus objetivos, con el fin de propagar exploits y atacar a los visitantes de los sitios.
El grupo malicioso también envió mensajes de correo electrónico spear-phishing que disfrazaban sus amenazas mediante señuelos de tecnología temática.
Symantec observó que Black Vine utiliza tres tipos de malware personalizado en sus ataques: Hurix, Sakurel (ambos detectados como Trojan.Sakurel) y Mivast (detectado como Backdoor.Mivast).
Las tres amenazas pueden realizar las siguientes acciones:
- Abrir una puerta trasera.
- Ejecutar archivos y comandos.
- Borrar, modificar y crear claves del registro.
- Reunir y transmitir información sobre el equipo infectado.
Todas las campañas que aprovechan los exploits de día cero de Elderwood se atribuyen a los atacantes patrocinados por el Estado, procedentes de China. Otros informes sugieren que Black Vine puede estar relacionado con una empresa con sede
en Beijing, llamada TopSec, que acoge un concurso de hacking denominado Copa TopSec, la cual entrena al ejército chino en ciberseguridad, y tiene enlaces con una universidad de la región asiática.
Compartir nota:
