Los ataques sin ficheros protagonizan una nueva oleada de robos en Europa del Este
- Actualidad
Durante el último año y medio, los bancos están experimentando un tipo de ataque completamente nuevo, bastante sofisticado y complejo en términos de detección. La última oleada la han experimentado los bancos de Europa del Este y ha supuesto pérdidas millonarias, según Kaspersky Lab.
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
Durante 2017 y 2018, los analistas de Kaspersky Lab participaron en una respuesta a incidentes de varios ciber-robos a organizaciones financieras en Europa del Este. Según explican, en cada caso, el acceso a la red corporativa se realizó a través de un dispositivo desconocido, controlado por los ciberatacantes, introducido de forma oculta en un edificio de la empresa y conectado a la red. Hasta el momento, se ha atacado al menos a ocho bancos de la región, con pérdidas estimadas en decenas de millones de euros.
Los ciberdelincuentes utilizaron tres tipos de dispositivos: un ordenador portátil, una Raspberry Pi (ordenador de una sola placa del tamaño de una tarjeta de crédito) o una Bash Bunny (una herramienta especialmente diseñada para automatizar y realizar ataques por USB), equipados con GPRS, módem 3G o LTE, que les permitió acceder de forma remota a la red corporativa de la entidad bancaria.
Una vez establecida la conexión, los cibercriminales intentaron obtener acceso a los servidores web para hacerse con los datos que necesitaban para ejecutar RDP (protocolo de escritorio remoto) en un ordenador y luego hacerse con fondos o datos. Este método de ataque fileless incluyó el uso de kits de herramientas de ejecución remota como Impacket, winexesvc.exe o psexec.exe. En la etapa final, los atacantes utilizaron software de control remoto para mantener el acceso al ordenador infectado.
Para protegerse contra este tipo poco frecuente de robo digital, la firma aconseja a las instituciones financieras que supervisen los dispositivos conectados y al acceso a la red corporativa; que eliminen completamente los agujeros de seguridad, incluidos aquellos que implican configuraciones de red inadecuadas, y que usen una solución especializada contra amenazas avanzadas que pueda detectar todo tipo de anomalías y analizar actividades sospechosas en una red a un nivel más profundo para identificar, reconocer y descubrir ataques complejos.