Contenido Exclusivo

Descubren ataques a gran escala con malware oculto en 40 países

Kaspersky Lab dio a conocer el descubrimiento de ataques con malware que se están produciendo a gran escala, los cuales afectan a más de 140 redes en una amplia gama de sectores empresariales.

A finales de 2016, los expertos de Kaspersky Lab fueron contactados por bancos de la Comunidad de Estados Independientes (CIS), ya que habían encontrado el software de prueba de penetración Meterpreter, el cual ahora se utiliza con fines maliciosos, en la memoria de sus servidores, en un lugar donde no debería estar. 

Este laboratorio descubrió que el código de Meterpreter se combinaba con una secuencia de comandos de PowerShell legítimos y otras herramientas.

Las herramientas combinadas se habían adaptado a un código malicioso que podía esconderse en la memoria para recopilar las contraseñas de los administradores del sistema de manera invisible. De esa manera, los ciberatacantes podían controlar los sistemas de sus víctimas en forma remota para conseguir su objetivo final: el acceso a los procesos financieros.

Desde esa fecha, Kaspersky Lab ha registrado que los ataques se producen a gran escala y que la mayoría de las víctimas se sitúan en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia. En total, se han registrado infecciones en 40 países, entre los que se encuentran Ecuador y Brasil.

grafica-kaspersky

La distribución geográfica de las empresas atacadas. Fuente: Kaspersky Labs.

Se desconoce quién puede estar detrás de los ataques. El uso de código de explotación de fuente abierta, herramientas comunes de Windows y dominios desconocidos hace casi imposible determinar el grupo responsable, o incluso si es un solo grupo o se trata de varios que comparten las mismas herramientas.

Los grupos conocidos que emplean métodos más parecidos son GCMAN y Carbanak. Tales herramientas también hacen más difícil descubrir los detalles de un ataque.

Investigación forense de la memoria

El proceso normal durante la respuesta a incidentes es que el investigador siga las huellas y muestras dejadas en la red por los atacantes. Y aunque los datos contenidos en un disco duro pueden permanecer disponibles durante un año después de un suceso, los artefactos que se ocultan en la memoria se borrarán después del primer reinicio del equipo. Afortunadamente, en esta ocasión, los expertos llegaron a tiempo.

“La investigación forense de la memoria se está convirtiendo en algo esencial para el análisis del malware y sus funciones”, afirmó Sergey Golovanov, Investigador Principal de Seguridad en Kaspersky Lab.

Agregó que en estos incidentes particulares, los atacantes utilizaron todas las técnicas antiforenses concebibles; demostrando así que no son necesarios los archivos de malware para la exfiltración exitosa de los datos de una red y cómo el uso de herramientas legítimas y de código abierto hace casi imposible atribuir los ataques”.

Golovanov dijo que los atacantes aún están activos, por lo cual es importante advertir que la detección estos ataques es posible sólo en RAM, la red y el registro, y que, en tales casos, el uso de reglas Yara basadas en una exploración de archivos maliciosos no da resultado.

Lo Más Reciente

Pure Storage lanza GenAI Pod: diseños llave en mano para acelerar la innovación de IA

Pure Storage presentó una solución que proporciona diseños llave...

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente,...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo,...

Newsletter

Recibe lo último en noticias e información exclusiva.

José Luis Becerra Pozas
José Luis Becerra Pozashttps://iworld.com.mx
Es Editor de CIO Ediworld México. Contáctalo en jbecerra@ediworld.com.mx o en el twitter @CIOMexico.

Pure Storage lanza GenAI Pod: diseños llave en mano para acelerar la innovación de IA

Pure Storage presentó una solución que proporciona diseños llave en mano construidos en su plataforma de almacenamiento de datos. Se trata de Pure Storage...

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente, siguen ejerciendo una presión cada vez mayor sobre el sector público de México. El gobierno...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo, muy pocos empresarios están adaptando sus empresas a este contexto, para lograr un crecimiento. Para...