La creatividad de los cibercriminales parece no tener límites, ya que se acaba de descubrir un nuevo método de ataque que los hace casi “invisibles”, y que les ha permitido infectar a más de 140 empresas en diferentes industrias, siendo los países más afectados Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia.
Fue el equipo de Kaspersky Lab el que, casi por casualidad, descubrió este nuevo modelo de ataque a finales del año pasado, ya que recibió una alerta del área de seguridad de los bancos de la Comunidad de Estados Independientes sobre un software encontrado en la memoria de sus servidores, cuando en realidad no debería estar instalado ahí.
De acuerdo con Sergey Golovanov, investigador principal de seguridad en Kaspersky Lab, dicho software se combinaba con otras herramientas legítimas del sistema para adaptarse a un código malicioso que se esconde en la memoria de los dispositivos, sin que fuese detectado.
“La determinación que muestran los atacantes por ocultar su actividad y hacer cada vez más difícil la detección y respuesta a incidentes, explica la última tendencia en las técnicas antiforenses y del malware basado en memoria”, consideró el especialista en su reporte.
Y es que, en un ataque normal, el área de respuesta a incidentes de seguridad puede seguir las huellas y muestras dejadas en la red por los atacantes. Sin embargo, los cibercriminales ya no están enfocando el código malicioso en el disco duro, donde la información puede permanecer hasta un año después del ataque, sino en la memoria donde se borra la información después del primer reinicio del equipo.
Por ello, Golovanov consideró que lograron llegar a tiempo para identificar este caso y observar el método que se utilizó.
EL IMPACTO
Kaspersky Lab indicó que esta infiltración “casi invisible” tiene como objetivo tomar el control de los sistemas de la víctima de forma remota y así acceder a la información financiera clave, como contraseñas.
Y este era sólo el primer paso, ya que la empresa de ciberseguridad encontró que esta campaña tenía una segunda parte, es decir, los piratas informáticos utilizaron la información recabada para diseñar nuevas técnicas que les permitieran retirar dinero de cajeros automáticos.
Golovanov presentará los detalles de dicha operación durante la Cumbre Global de Analistas de Seguridad que se celebrará del 2 al 6 de abril próximos. Sin embargo, ya todas las empresas están advertidas sobre este nuevo modelo de ataque para que se protejan.
Esto último es muy importante, ya que consideran que los atacantes aún están activos y, lamentablemente, no se puede saber si se trata de un solo grupo o varios que usan la misma técnica.
Además, Golovanov y su equipo advierten que este tipo de técnicas se volverán más comunes, sobre todo contra objetivos relevantes como puede ser la industria bancaria y, desgraciadamente, la combinación de herramientas legítimas y otras maliciosas hará más difícil detectarlos.
De hecho, sólo es posible identificar este método si los expertos de seguridad revisan la memoria RAM, la red y el registro de actividades.
