Llegamos a ustedes gracias a:



Alertas de Seguridad

El grupo cibercriminal Saguaro

Investigado y detectado por Kaspersky Lab

Kaspersky Saguaro

[06/09/2016] CIO fue invitado a la pasada Cumbre Latinoamericana de Analistas de Seguridad organizada por Kaspersky y realizada en México. En esta reunión tuvimos la oportunidad de escuchar a distintos ejecutivos de la firma hablar sobre las amenazas que actualmente tienen que enfrentar las personas y las organizaciones.

Una de las charlas estuvo dedicada a un grupo en especial. El grupo cibercriminal Saguaro -del que no habíamos escuchado antes- llamó la atención de Kaspersky, y por ello la compañía decidió investigarlo y ofrecer los resultados de su investigación.

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky, relató la forma en que este grupo, que opera desde el 2009, ha logrado llegar a más de 120 mil personas, y sigue operando.

Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky, comenta sobre el grupo ciber criminal Saguaro.
Kaspersky Saguaro

Qué es el Saguaro

El Saguaro es un cactus muy grande que vive en el norte de México y sur de Estados Unidos, pero también es un grupo cibercriminal bien estructurado que está operando por lo menos desde el 2009, y cuyo enfoque principal es México, aunque su alcance ha llegado igualmente a otros países.

El grupo ha tenido un éxito notable en estos años. El vector inicial con el que se llega a las víctimas es el correo electrónico; todas las víctimas reciben un mensaje cuyo contenido es variable, acorde con el género, edad e incluso intereses de la persona que recibe el mensaje.

Cada correo electrónico viene acompañado de un archivo adjunto que la persona tiene que abrir, algo que se logra gracias a la personalización del mensaje de correo electrónico. Bestuzhev mostró ejemplos de mensajes que apelaban a la clásica amenaza del cierre de la cuenta bancaria, o a la advertencia de que alguien había tomado el control de la cuenta de Facebook. Incluso, uno de los mensajes apelaba a una posible infidelidad de parte de la pareja del receptor del mensaje. Entre los mensajes se mostró también un correo que fue dirigido a un trabajador de una compañía que da atención a una línea aérea.

Al abrir el documento y dar clic en él se descarga una 'carga maliciosa'. Ésta es un ejecutable que tiene tres módulos principales. El módulo espía, el módulo vector y el módulo de gestión remota (RAT).

"Lo que el atacante podría hacer es robar la información, explorar el disco duro cuando lo desee, e incluso manejar remotamente las máquinas infectadas, detalló el ejecutivo.

¿Qué es lo que espían los atacantes?

Las contraseñas de todo tipo o elementos importantes que son guardados en el navegador. Bestuzhev recomendó no guardar las contraseñas en el navegador cuando éste ofrece recordarlas.

Saguaro también roba los datos de las redes privadas virtuales (VPN) guardadas en el equipo; el atacante puede sustraer la información de la VPN, así como la dirección, protocolo, certificado, contraseña de autenticación y nombre de usuario. A partir de ese momento, el atacante puede conectarse a la organización que ha proporcionado la VPN con el nombre de la víctima.

"Esto apertura un gran número de posibilidades para un atacante de este tipo, sostuvo el ejecutivo. Y no es de sorprender pues gracias al Saguaro, el atacante podría tener acceso a una red corporativa.

Adicionalmente, el Saguaro roba los datos de las redes Wi-Fi guardadas en el equipo. Saguaro roba las contraseñas de las redes Wi-Fi junto con sus nombres. También roba los datos de los clientes FTP, acceso al correo electrónico, acceso a la nube e incluso el acceso a la libreta de direcciones, lo cual puede servir incluso para hacerse pasar por otra persona para el siguiente paso del ataque; es decir, para escribir a una persona importante de la libreta de direcciones en nombre de la víctima.

Saguaro tiene algunas particularidades técnicas. Por ejemplo, existe un certificado electrónico empleado para firmar varias muestras de malware de Saguaro. Esto se usa porque cuando se identifica un archivo con firma digital, se puede considerarlo como algo legítimo. "Por supuesto, en estos momentos esta firma se encuentra revocada, es decir, es un certificado inválido, pero en el momento del ataque el archivo fue usado para infectar varias personas entre las cuales Kaspersky ha identificado incluso a un abogado, anotó Bestuzhev.

Otra característica es que cuando Saguaro se aloja en los servidores utiliza una técnica muy simple, su extensión no es exe sino gif. Así, cuando un administrador de red ve un archivo llamado logo.gif no se levantan muchas sospechas.

Saguaro, además, utiliza dos tipos de servidores. Unos son los servidores legítimos hackeados, y servidores especialmente comprados para sus campañas especiales.

Otro punto interesante es que cuando se lanza el ataque, la tasa de detección es baja. De los 54 antivirus que se encuentran en Virus Total la tasa de detección es como máximo de 17%, e incluso hay casos en el que algunas muestras fueron detectadas por un solo antivirus de los 54. Esto nos dice que las muestras pasaron por un proceso de 'pulimiento' antes de ser lanzadas contra las víctimas.

Otra particularidad es que los criminales que se encuentran detrás de Saguaro tienen bitcoins, y si tiene conexiones RDP (remote desktop protocol) -que es lo que utilizan los administradores para conectarse a una máquina a la que quieren darle soporte técnico- lo pueden usar como trampolín para llegar a muchas otras máquinas.

Finalmente, el malware también verifica si la víctima conecta a su máquina los dispositivos de Samsun y Apple a través del puerto USB. "Esto, porque muchos datos se manejan de forma confidencial en los celulares y muchas personas comenten el error de conectar sus celulares a la computadora, indicó el ejecutivo. "Nunca conecten sus celulares a una computadora o a un USB. Si quieren cargar su celular usen el cargador y si quieren sacar sus fotos usen la nube, recomendó Bestuzhev.

Dónde se encuentra

Saguaro ya ha reportado más de 120 mil víctimas, pero el expositor señaló que es solo el comienzo. El 98% de las víctimas se encuentran en México; del restante 2%, Colombia tiene el 30%, y en cifras menores Brasil y Estados Unidos, Venezuela, República Dominicana, España e incluso Rusia.

Saguaro no solo causa daños a las personas sino también a las empresas. Kaspersky ha encontrado las huellas de Saguaro dentro de máquinas de instituciones; es decir, la víctima ya no solo es la persona sino también la estación de trabajo.

"A pesar de ello, Saguaro no es considerado una APT, es decir, una amenaza avanzada, que generalmente se encuentran dirigidas desde gobiernos hacia gobiernos o de instituciones contra otras instituciones. Saguaro es un grupo cibercriminal bien estructurado que está operando en diferentes vectores, en diferentes campos con diferentes objetivos. El idioma de los atacantes es el español y la mayoría de las víctimas pertenecen a países donde se habla este idioma, indicó Bestuzhev.

Concluyó señalando que, además, Saguaro no solo trabaja para sí mismo, sino que también trabaja para otros. "Hemos encontrado correos específicos con los dominios registrados específicamente en Perú en nombre de un banco para infectar a los empleados del banco. Y esto es porque alguien les encargó este trabajo, anotó.

Franca Cavassa, CIO Perú