DEFINICIÓN DEL VIRUS
Tipo de virus: malware / amenaza persistente avanzada (APT)
¿Cuál es?
Crouching Yeti es una amenaza involucrada en varias campañas de amenazas persistentes avanzadas (APT) que han estado activas y se remontan, como mínimo, a finales de 2010.
Los principales sectores afectados por esta amenaza son:
- Industria/maquinaria
- Industria
- Farmacéutico
- Empresas de construcción
- Educativo
- Tecnologías de la información
Tras una exhaustiva investigación, se determinó que el mayor número de víctimas que identificamos pertenecen al sector de la construcción industrial y de maquinaria, lo cual es un buen indicio de que este es un sector de especial interés.
La amenaza Crouching Yeti se transmitía a través de tres métodos para infectar a las víctimas: correos electrónicos de spear phishing mediante documentos PDF incrustados con un exploit de Adobe Flash (CVE-2011-0611)
- Instaladores de software convertidos en troyanos
- Ataques de abrevadero con diversos exploits reutilizados
Detalles de la amenaza
Crouching Yeti apenas es una campaña sofisticada. Por ejemplo, los atacantes no utilizaban ningún exploit de día cero, solo exploits que están disponibles fácilmente en Internet. Pero eso no evitó que la campaña pasara desapercibida durante varios años.
El número total de víctimas conocidas es superior a 2800 a nivel mundial, de las cuales los investigadores de Kaspersky pudieron identificar 101 organizaciones. Esta lista de las víctimas parece indicar el interés de Crouching Yeti por los objetivos estratégicos, pero también muestra un interés del grupo por muchas otras instituciones no tan evidentes.
Los expertos de Kaspersky creen que pueden ser víctimas colaterales, pero también podría ser razonable redefinir a Crouching Yeti no solo como una campaña muy específica en un área de interés muy concreta, sino también como una amplia campaña de vigilancia con intereses en diferentes sectores.
¿Cómo puedo saber si estoy infectado con Crouching Yeti?
La mejor manera de determinar si has sido víctima de Crouching Yeti es identificar si se ha producido una intrusión. La identificación de la amenaza puede hacerse con un producto antivirus sólido, como Kaspersky Anti-Virus.
Los productos de Kaspersky detectarán el malware involucrado en la campaña de Crouching Yeti con las siguientes definiciones de amenazas:
- Trojan.Win32.Sysmain.xxx
- Trojan.Win32.Havex.xxx
- Trojan.Win32.ddex.xxx
- Backdoor.MSIL.ClientX.xxx
- Trojan.Win32.Karagany.xxx
- Trojan-Spy.Win32.HavexOPC.xxx
- Trojan-Spy.Win32.HavexNk2.xxx
- Trojan-Dropper.Win32.HavexDrop.xxx
- Trojan-Spy.Win32.HavexNetscan.xxx
- Trojan-Spy.Win32.HavexSysinfo.xxx
¿Cómo puedo protegerme contra Crouching Yeti?
- Mantén todo tu software actualizado. Ninguno de los exploits utilizados por amenazas Crouching Yeti fueron ataques de exploits de día cero. La mayoría de las infecciones se podrían haber evitado mediante el uso de software de terceros actualizados.
- Instala y mantén actualizada tu solución de seguridad para evitar infecciones de virus.
- La formación es una parte importante de la seguridad, especialmente con respecto a los correos electrónicos de phishing.