Black Vine, ¿cómo lleva a cabo sus ciberataques?

A principios de este año, Anthem, la segunda compañía de seguros médicos más grande de Estados Unidos reveló públicamente que había sido víctima de un ciberataque importante, que dio lugar a la brecha de datos sanitarios más grande hasta la fecha, con 80 millones de registros de pacientes expuestos. Pues bien, Symantec cree que los atacantes detrás del incidente son parte de un grupo de ciberespionaje altamente sofisticado llamado Black Vine, y que el ataque a Anthem es sólo una de las campañas lanzadas por este grupo.

Symantec ha localizado múltiples operaciones de Black Vine que se han estado produciendo desde 2012, entre cuyas víctimas figuran fabricantes de turbinas de gas y eléctricas, grandes compañías aeroespaciales y de aviación, empresas sanitarias, entidades financieras, y otras. El grupo tiene acceso a exploits de día cero y utiliza malware backdoor personalizado.

En sus campañas, Black Vine ha comprometido sitios web legítimos que eran de interés para sus objetivos, con el fin de servir exploits a los visitantes de los sitios. Si los exploits de día cero funcionaban con éxito contra el software vulnerable en el ordenador de la víctima, posteriormente implementaban malware personalizado, proporcionando a los atacantes acceso remoto al ordenador. Black Vine también se ha valido del envío de mensajes de correo electrónico de spear-phishing que ocultan amenazas utilizando la ingeniería social.

La gran mayoría de los ataques de Black Vine están localizados en los Estados Unidos, seguido de China, Canadá, Italia, Dinamarca y India.