Ataques "invisibles": ciberdelincuentes quebrantan la seguridad de empresas |
Escrito por Redacción OyN |
Jueves, 09 de Febrero de 2017 23:10 |
A finales de 2016, los expertos de Kaspersky Lab fueron contactados por bancos de la Comunidad de Estados Independientes (CIS por sus siglas en inglés) ya que habían encontrado el software de prueba de penetración Meterpreter, el cual ahora se utiliza con fines maliciosos, en la memoria de sus servidores, en un lugar donde no debería estar. Kaspersky Lab descubrió que el código de Meterpreter se combinaba con una secuencia de comandos de PowerShell legítimos y otras herramientas. Las herramientas combinadas se habían adaptado a un código malicioso que podía esconderse en la memoria para recopilar las contraseñas de los administradores del sistema de manera invisible. De esa manera, los ciberatacantes podían controlar los sistemas de sus víctimas en remoto y conseguir su objetivo final: el acceso a los procesos financieros. Desde esa fecha, Kaspersky Lab ha descubierto que estos ataques se están produciendo a gran escala, ya que afectan a más de 140 redes en una amplia gama de sectores empresariales, con la mayoría de las víctimas situadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia. En total, se han registrado infecciones en 40 países, entre los que se encuentran Ecuador y Brasil.
La distribución geográfica de las empresas atacadas Se desconoce quién puede estar detrás de los ataques. El uso de código de explotación de fuente abierta, herramientas comunes de Windows y dominios desconocidos hace casi imposible determinar el grupo responsable, o incluso si es un solo grupo o se trata de varios que comparten las mismas herramientas. Los grupos conocidos que emplean métodos más parecidos son GCMAN y Carbanak. Tales herramientas también hacen más difícil descubrir los detalles de un ataque. El proceso normal durante la respuesta a incidentes es que el investigador siga las huellas y muestras dejadas en la red por los atacantes. Y aunque los datos contenidos en un disco duro pueden permanecer disponibles durante un año después de un suceso, los artefactos que se ocultan en la memoria se borrarán después del primer reinicio del equipo. Afortunadamente, en esta ocasión, los expertos llegaron a tiempo. "La determinación que muestran los atacantes por ocultar su actividad y hacer cada vez más difícil la detección y respuesta a los incidentes, explica la última tendencia en las técnicas antiforenses y del malware basado en la memoria. Es por eso que la investigación forense de la memoria se está convirtiendo en algo esencial para el análisis del malware y sus funciones. En estos incidentes particulares, los atacantes utilizaron todas las técnicas antiforenses concebibles; demostrando así, que no son necesarios los archivos de malware para la exfiltración exitosa de los datos de una red y cómo el uso de herramientas legítimas y de código abierto hace casi imposible atribuir los ataques", dijo Sergey Golovanov, Investigador Principal de Seguridad en Kaspersky Lab.
Los atacantes aún están activos, por lo cual es importante advertir que la detección estos ataques es posible sólo en RAM, la red y el registro, y que, en tales casos, el uso de reglas Yara basadas en una exploración de archivos maliciosos no da resultado. Los detalles de la segunda parte de la operación, que muestra cómo los atacantes implementaron tácticas únicas para retirar dinero utilizando cajeros automáticos, serán presentados por Sergey Golovanov e Igor Soumenkov durante la Cumbre Global de Analistas de Seguridad, que se celebrará del 2 al 6 de abril de 2017. Los productos de Kaspersky Lab detectan con éxito las operaciones utilizando las tácticas, técnicas y procedimientos anteriormente mencionados. Información adicional está disponible en el blog de Securelist.com, Los detalles técnicos, incluidos Indicadores de Compromiso, están disponibles para los clientes de Kaspersky Intelligence Services.
|
Solve for Tomorrow Latam fortalece red de docentes de América LatinaSamsung anuncia el lanzamiento de su plataforma digital Solve for Tomorrow Latam, un espacio para reconocer y dar valor a los docentes. |
Hoy se estrena el documental "Madre Carmen"El documental Madre Carmen de Venezuela, una caraqueña común y extraordinaria, llega a la pantalla de Venevisión, |
Banesco extiende el plazo de postulación al Presupuesto ParticipativoBanesco extiende los plazos de postulación para su Presupuesto Participativo 2024 en el Área Metropolitana de Caracas |
“The Wailers" llegan a CaracasLa emblemática banda jamaiquina se presentará en vivo y con todos sus éxitos el próximo 10 de mayo. |
Farmatodo y Acción Solidaria se alían para Fortalecer el Banco de MedicamentosFarmatodo, ha formalizado la alianza estratégica con Acción Solidaria, reconocida organización dedicada al apoyo a personas en situación de vulnerabilidad, con el objetivo de fortalecer su Banco de Me... |
Cuando el pasado siempre nos alcanzaMario Briceño Iragorry fue un constructor de civismo público |
En qué consiste el método de producción Bombeo MecánicoCuando recorremos distintos campos Petroleros en la faja Petrolífera de Orinoco nos conseguimos con equipo de superficie conocidos como Balancín |
María Corina Machado y Corina Yoris: La dignidad no se negociaLa insobornable María Corina Machado nos ha demostrado que la dignidad no se negocia. |
Partidos y democratizaciónPosibilidad de transformación del sistema político, alternabilidad, transferencia pacífica de mando, garantía de gobernabilidad a largo plazo… |
Contienda atípicaLa presente contienda electoral es toda una ironía. |
Siganos en