ESPAÑA Y PORTUGAL, ENTRE LAS VÍCTIMAS DE UNA NUEVA OLA DE ATAQUES DE ADWIND RAT

El pasado año, nuestro equipo de analistas ya reportó sobre esta amenaza. Este año, Adwind RAT (Remote Access Tool) no ha dejado de actuar y se han detectado ataques contra más de 1.500 objetivos empresariales en más de 100 países, entre los que se encuentran tanto España como Portugal. Los ataques han alcanzado diversos sectores, incluyendo retail y distribución (21,1%), construcción (9,5%), transporte y logística (5,5%), aseguradoras y servicios legales (5%) y consultoría (5%).

Las soluciones de Kaspersky Lab detectan diferentes variantes de Adwind RAT

Cómo funciona
Las víctimas de Adwind reciben falsos correos electrónicos enviados en nombre del Servicio de Asesoramiento de HSBC (del dominio mail.hsbcnet.hsbc.com), con advertencias de pago en el archivo adjunto. Según la investigación de Kaspersky Lab, la actividad de este dominio de correo electrónico se puede rastrear hasta 2013. En lugar de las instrucciones, los archivos adjuntos contienen una muestra de malware. Si el usuario abre el archivo adjunto, el malware se auto instala e intenta comunicarse con su servidor de comando y control. El malware permite al ciberatacante obtener un control casi total sobre el dispositivo comprometido y robar información confidencial del equipo infectado.

Cómo atrapar a la RATa?

Debido a las características del malware JAVA, así como su empaquetamiento y ofuscación, algunos motores anti-,malware tienen dificultades para detectar Adwind. Pero, con toda la Inteligencia de Seguridad a su disposición, junto con los más avanzados algoritmos de detección continuamente mejorados gracias a los procesos de aprendizaje de las máquinas de nuestros laboratorios, los productos y soluciones de Kaspersky Lab son capaces de detectar las muestras de Adwind.

Teniendo en cuenta que el phishing es el principal vector de ataque, implementar un sistemas de seguridad en el correo es indispensable. Kaspersky Security for Mail Servers (que incluye una versión para Linux) incorpora múltiples funcionalidades para bloquear y detectar estos mails, Junto con la detección de malware mediante firmas, la solución incluye Anti-Phishing soportada tanto por tecnologías basadas en heurística como por sistemas de reputación basados en cloud. Estas tecnologías permiten la detección no solo de adjuntos, sino también de emails.

Kaspersky Endpoint Protection for Business comprende un sistema de Prevención de Intrusiones (HIPS, también denominado Control de Privilegios de Aplicaciones) que ofrece al administrador 4 niveles de restricción según el nivel de confianza. Estos grupos también son compartidos con un Firewall de Aplicaciones. Para reducir el riesgo, JAVA puede incluirse en el grupo de máxima restricción, limitando significativamente su peligro potencial. Asimismo, es posible deshabilitar JAVA de forma selectiva y limitar su uso a determinados endpoints.
El “éxito” de Adwind también viene dado por la falta de cuidado y atención de los empleados. Con Kaspersky Cybersecurity Awareness Training las empresas tienen la oportunidad de minimizar los riesgos formando a sus empleados.

Ver información en inglés original en PDF al respecto en Fuente:
https://securelist.com/securelist/files/2016/02/KL_AdwindPublicReport_2016.pdf