Ataca a más de 130 compañías
Los analistas de Kaspersky Lab han descubierto esta operación que comenzó en junio de 2016, cuando se detectó una oleada de phishing con archivos adjuntos maliciosos. Los emails parecían proceder de un banco en los Emiratos Árabes Unidos (simulaban un aviso de pago del banco con un documento adjunto SWIFT, pero en realidad el archivo adjunto contenía malware) y se enviaron principalmente a los administradores de nivel superior y medio de las empresas.
La firma de seguridad cree que la campaña de phishing ha podido ser organizada por un grupo cibercriminal que los analistas de la compañía tenían localizados desde marzo de 2015. Los ataques de junio parecen ser la operación más reciente llevada a cabo por este grupo.
Operación Ghoul – ¿Cómo funciona?
Estos datos se envían a los servidores command and control (comando y control) de los cibercriminales. Según la información interceptada de estos servidores, la mayoría de las víctimas eran organizaciones que trabajan en los sectores industriales y de ingeniería, como transporte, productos farmacéuticos, fabricación y organizaciones educativas. En definitiva, empresas con información valiosa que podría venderse bien en el mercado negro.
La principal motivación de esta campaña de ciberataques es puramente el beneficio económico, derivado de la venta de la propiedad intelectual robada e inteligencia de negocios, o de ataques directos a las cuentas bancarias de sus víctimas.
A diferencia de otros grupos cibercriminales, que realizan ataques más dirigidos, en este caso parece que el objetivo era cualquier empresa, y han usado herramientas sencillas a disposición de “cualquiera” en la deep web. Aún así, han sido muy eficaces.
Con el fin de proteger su empresa de Operación Ghoul y otras amenazas, los analistas de Kaspersky Lab recomiendan implementar ciertas medidas, como educar a sus empleados para que sean capaces de distinguir un correo electrónico phishing o un enlace de suplantación de identidad de los correos electrónicos reales, usar una solución de seguridad corporativa, y proporcionar a su personal de seguridad el acceso a los últimos datos de inteligencia de ciberamenazas.