Descubren nuevos ataques 'invisibles' que utilizan software legítimo

  • Seguridad

Tanto entidades financieras, como empresas de telecomunicaciones se encuentran entre los principales objetivos de estas amenazas que utilizan técnicas similares a las utilizadas por grupos de ciberdelincuentes como GCMAN y Carbanak.

A finales del año pasado, diversos bancos de la Comunidad de Estados Independientes (CIS, por sus siglas en inglés) contactaron con expertos de Kaspersky Lab porque encontraron el software de pruebas de penetración Meterpreter en la memoria de sus servidores en un lugar donde no debería aparecer. El fabricante descubrió que el código Meterpreter se había combinado con un número de scripts PowerShell y con otras utilidades y se había transformado en código malicioso que podía ocultarse en la memoria y, de forma invisible, recopilar las contraseñas de los administradores de sistemas. De esa manera, los ciberatacantes podían controlar los sistemas de sus víctimas en remoto y conseguir el acceso a los procesos financieros.

Desde esa fecha, la compañía ha venido investigando esos ataques “invisibles” que utilizan software legítimo y ha descubierto que eran masivos y que habían afectado a más de 140 redes empresariales de varios sectores, con la mayoría de las víctimas localizadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia. En total, las infecciones afectaron a empresas, como entidades financieras y compañías de telecomunicaciones, en más de 40 países, entre los que se encuentra España.

Se desconoce quién puede estar detrás de los ataques, según el fabricante. El uso del código de explotación de fuente abierta, funcionalidades Windows habituales y dominios desconocidos hace prácticamente imposible determinar los responsables, o si son varios los que comparten las mismas herramientas. Algunos grupos conocidos que utilizan una técnica similar son GCMAN y Carbanak.

Según explica Sergey Golovanov, analista principal de seguridad en Kaspersky Lab, “esta tendencia que observamos en técnicas antiforense y malware que se sitúan en la memoria responde al empeño de los ciberdelincuentes de ocultar su actividad y dificultar su detección. Por ello, el estudio forense de la memoria se está convirtiéndose en algo crítico para el análisis de malware”. En concreto, en estos incidentes, continúa el directivo, se han utilizado todas las técnicas antiforense existentes. “Es un ejemplo claro de que no se necesitan archivos de malware para lograr extraer datos de la red con éxito. El uso de utilidades open source y software legítimo hacen imposible localizar el origen”, confirma.

Recomendaciones que te puedan interesar…

Informe anual del sector TIC y de los contenidos en España 2016

Barómetro del sector de los drones en España

La transformación digital en el sector retail

Estado del negocio digital 2015-2020

10 tendencias de consumo para 2017

Fabricantes de WLAN y LAN cableadas para empresas 

La digitalización: ¿crea o destruye empleo? 

e-commerce para pymes, autónomos y emprendedores

Cómo lograr el máximo rendimiento en tus canales digitales