{"id":7705,"date":"2016-02-09T12:37:05","date_gmt":"2016-02-09T12:37:05","guid":{"rendered":"https:\/\/kasperskydaily.com\/spain\/?p=7705"},"modified":"2020-02-26T17:30:12","modified_gmt":"2020-02-26T15:30:12","slug":"poseidon-apt-boutique","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/poseidon-apt-boutique\/7705\/","title":{"rendered":"El dominio de Poseid\u00f3n"},"content":{"rendered":"<p>Atr\u00e1s quedaron los d\u00edas en que los hackers creaban <em>malware<\/em> tan solo por diversi\u00f3n. Hoy en d\u00eda, el prop\u00f3sito del <em>malware<\/em> no es solo el de inhabilitar un equipo, como lo era antes, ahora el objetivo de los creadores de <em>malware<\/em> es el de hacer dinero infectando tu equipo. El cibercrimen tiene una industria propia en la que participan tanto grandes como peque\u00f1os \u201cjugadores\u201d. Nuestros expertos de GReAT han descubierto recientemente otro \u201cjugador\u201d, el llamado Grupo Poseid\u00f3n. Sus investigaciones sobre este grupo se presentaron en el <a href=\"https:\/\/www.kaspersky.es\/blog\/tag\/thesas2016\/\" target=\"_blank\" rel=\"noopener\">Security Analyst Summit 2016<\/a>.<\/p>\n<p><strong><\/strong><\/p>\n<p>Aunque la investigaci\u00f3n has sido presentada en 2016, el grupo no es realmente nuevo. Al parecer, han estado activos desde 2005. La primera muestra de <em>malware<\/em> Poseid\u00f3n que se encontr\u00f3 se remonta al a\u00f1o 2001 y solo estaba dirigido a los equipos basados \u200b\u200ben Windows, desde Windows 95 a Windows 8.1, y las \u00faltimas muestras fueron descubiertas en Windows Server 2012. El grupo muestra especial inter\u00e9s en las redes basadas en dominios, t\u00edpicas de las grandes empresas.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/88\/2016\/02\/05220321\/poseidon-live-photo.jpg\" alt=\"\" width=\"1280\" height=\"768\"><\/p>\n<p><strong>\u00bfC\u00f3mo ataca Poseid\u00f3n?<\/strong><\/p>\n<p>Los ataques por lo general se inician con <em>spear phishing<\/em>, un t\u00e9rmino muy frecuente que se refiere a la suplantaci\u00f3n de identidad dirigida a ciertos individuos concretos, por lo que no implica llevar a cabo una campa\u00f1a masiva de <em>spam<\/em>. Por lo tanto, los criminales suelen recurrir a la <a href=\"https:\/\/www.kaspersky.es\/blog\/ingenieria-social-hackeando-a-personas\/2066\/\" target=\"_blank\" rel=\"noopener\">ingenier\u00eda social<\/a> para convencer a la v\u00edctima para que abra un archivo malicioso.<\/p>\n<p>Cuando la v\u00edctima descarga el archivo malicioso, que suele tratarse de un archivo en formato DOC o RTF que contiene el <em>malware<\/em> incrustado, su equipo est\u00e1 en peligro. Las caracter\u00edsticas de Poseid\u00f3n hacen saltar la alarma de muchos antivirus, por lo que, o trata de ocultarse de ellos o ataca a estos procesos como forma de autodefensa.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\">El lunes comienza <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a> y habr\u00e1 muchas novedades\u2026 \u00bfSabes qui\u00e9n es Poseid\u00f3n? <a href=\"https:\/\/twitter.com\/hashtag\/WhoisPoseidon?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#WhoisPoseidon<\/a> <a href=\"https:\/\/t.co\/BIXQQ70d0z\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/BIXQQ70d0z<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/695659450888298496?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 5, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>A continuaci\u00f3n, el <em>malware<\/em> instalado en el equipo establece una conexi\u00f3n con un servidor de mando y control. Los atacantes realizan un movimiento lateral, recogiendo una gran cantidad de informaci\u00f3n y buscando la forma de aprovechar los privilegios de acceso para generar un mapa de red con el fin de encontrar el equipo exacto que est\u00e1n buscando. Su objetivo principal suele ser el servidor del controlador de dominio de Windows con el prop\u00f3sito de llevar a cabo el robo de la propiedad intelectual, los secretos profesionales y otros datos de importancia comercial.<\/p>\n<p>Estos ataques son personalizados. A pesar de que la etapa inicial suele ser la misma, todo lo que ocurre a continuaci\u00f3n est\u00e1 dise\u00f1ado espec\u00edficamente para cada v\u00edctima, por ello, nuestro equipo de GReAT defini\u00f3 a Poseid\u00f3n como \u201cun negocio de implantes de <em>malware<\/em> hechos a medida\u201d. Esta es la raz\u00f3n principal por la que se tard\u00f3 mucho tiempo en unir las piezas del rompecabezas y darse cuenta de que todos los ataques, que parec\u00edan tener un origen distinto, pertenec\u00edan a un mismo grupo que estaba en la sombra.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\">Grupo <a href=\"https:\/\/twitter.com\/hashtag\/Poseid%C3%B3n?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Poseid\u00f3n<\/a>: una boutique de <a href=\"https:\/\/twitter.com\/hashtag\/malware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#malware<\/a> comercial <a href=\"https:\/\/t.co\/CHOZ1EPoFS\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/CHOZ1EPoFS<\/a> via <a href=\"https:\/\/twitter.com\/elmundoes?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@elmundoes<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a> <a href=\"https:\/\/t.co\/aM6jvscAlw\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/aM6jvscAlw<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/697465563254288384?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 10, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La informaci\u00f3n que obtuvo Poseid\u00f3n se utiliz\u00f3 para chantajear a las v\u00edctimas con el fin de convencerles para que les contrataran como sistema de seguridad. Sin embargo, esto no les imped\u00eda seguir con sus ataques o iniciar otros dirigidos a las mismas empresas. En esta campa\u00f1a no hay ning\u00fan gobierno envuelto, Poseid\u00f3n solo ha mostrado inter\u00e9s en la recopilaci\u00f3n de datos comerciales de gran valor. Creemos que tambi\u00e9n se ha vendido informaci\u00f3n a otras entidades interesadas y con dinero suficiente para pagar por ello.<\/p>\n<p>Todos los <a href=\"https:\/\/www.kaspersky.es\/software-antivirus-domestico\/internet-security?redef=1&amp;reseller=es_kdaily_pro_ona_smm__onl_b2c_kasperskydaily_lnk_______\" target=\"_blank\" rel=\"noopener\">productos de Kaspersky Lab<\/a> est\u00e1n familiarizados con todas las amenazas conocidas de Poseid\u00f3n y las detectan como <em>Backdoor.Win32.Nhopro, HEUR:Backdoor.Win32.Nhopro.gen<\/em> o <em>HEUR:Hacktool.Win32.Nhopro.gen<\/em><\/p>\n<blockquote class=\"twitter-pullquote\"><p>El Grupo Poseid\u00f3n: un negocio de implantes de malware hechos a medida #TheSAS2016<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2FeFP8&amp;text=+El+Grupo+Poseid%C3%B3n%3A+un+negocio+de+implantes+de+%3Cem%3Emalware%3C%2Fem%3E+hechos+a+medida+%23TheSAS2016+\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Lo que hace que Poseid\u00f3n sea especial es que se trata del primer \u201cjugador\u201d del mercado de las APT que tiene como objetivos principales a las empresas o negocios de habla portuguesa que hacen negocios en Brasil. Tambi\u00e9n cuenta con v\u00edctimas en Francia, India, Kazajist\u00e1n, Rusia, los Emiratos \u00c1rabes Unidos y los Estados Unidos de Am\u00e9rica.<\/p>\n<p>Hasta el momento se han registrado al menos 35 v\u00edctimas entre las que se incluyen instituciones financieras y gubernamentales, empresas de energ\u00eda, telecomunicaci\u00f3n, fabricantes y agencias y medios de comunicaci\u00f3n. Puesto que es dif\u00edcil distinguir un ataque del Grupo Poseid\u00f3n de otros ataques de <em>malware<\/em>, debido a su car\u00e1cter sigiloso y personalizado, los investigadores de GReAT creen que la cifra de v\u00edctimas es mayor, sin embargo, ahora mismo es imposible identificarlas con precisi\u00f3n.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">48 hours to reveal <a href=\"https:\/\/twitter.com\/hashtag\/WhoIsPoseidon?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#WhoIsPoseidon<\/a><br>Come and see <a href=\"https:\/\/t.co\/E3RDQzlSez\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/E3RDQzlSez<\/a> <br>At <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a><\/p>\n<p>\u2014 Dmitry Bestuzhev (@dimitribest) <a href=\"https:\/\/twitter.com\/dimitribest\/status\/696264670546505729?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 7, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Kaspersky Lab est\u00e1 trabajando junto a las v\u00edctimas que actualmente tienen una infecci\u00f3n activa para poder elaborar informes de inteligencia y medidas de asistencia, con el fin de proporcionar ayuda frente a esta amenaza. Hemos podido debilitar varios servidores de mando y control, pero el Grupo Poseid\u00f3n los cambia con frecuencia, por lo que, por ahora, permanecen activos.<\/p>\n<p>Esta campa\u00f1a cibern\u00e9tica es un claro ejemplo de la importancia de llevar a cabo buenas pol\u00edticas de seguridad de la informaci\u00f3n y de la necesidad de contar con soluciones de seguridad adecuadas para las grandes empresas. S\u00edguenos para aprender m\u00e1s acerca de las nuevas APT, seguiremos prestando mucha atenci\u00f3n a este tema en concreto, como hicimos en el <a href=\"https:\/\/www.kaspersky.es\/blog\/tag\/thesas2016\/\" target=\"_blank\" rel=\"noopener\">SAS 2016<\/a>.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En el SAS 2016, los investigadores de Kaspersky Lab hablaron acerca del descubrimiento re-ciente del Grupo Poseid\u00f3n. Un negocio de APT hechas a medida, en busca de informaci\u00f3n co-mercial de gran valor.<\/p>\n","protected":false},"author":696,"featured_media":7707,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348,6],"tags":[378,368,449,1025,22,1611,1601,1610,23],"class_list":{"0":"post-7705","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-amenazas","10":"tag-apt","11":"tag-great","12":"tag-investigacion","13":"tag-malware-2","14":"tag-poseidon","15":"tag-sas-2016","16":"tag-thesas2016","17":"tag-windows"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/poseidon-apt-boutique\/7705\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/poseidon-apt-boutique\/6664\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/poseidon-apt-boutique\/6742\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/poseidon-apt-boutique\/6650\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/poseidon-apt-boutique\/7441\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/poseidon-apt-boutique\/10796\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/poseidon-apt-boutique\/11264\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/poseidon-apt-boutique\/6967\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/poseidon-apt-boutique\/10328\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/poseidon-apt-boutique\/10796\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/poseidon-apt-boutique\/11264\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/poseidon-apt-boutique\/11264\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/amenazas\/","name":"amenazas"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/7705","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=7705"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/7705\/revisions"}],"predecessor-version":[{"id":21842,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/7705\/revisions\/21842"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/7707"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=7705"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=7705"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=7705"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}