Los responsables aún no han podido ser encontrados
Aunque distintas empresas aseguran estar resguardadas de ataques que comprometen su información, los ciberdelincuentes han desarrollado armas que camuflan el software malicioso con el que pueden adentrarse en los servidores, tal como lo reportó la firma de seguridad Kaspersky Lab.
La compañía explicó que después del análisis de servidores de empresas bancarias de la Comunidad de Estados Independientes (CIS por sus siglas en inglés), pudo encontrar que el software de prueba de penetración Meterpreter, usado con fines maliciosos, podía combinarse con secuencias de comandos de PowerShell legítimos y otras herramientas para eludir la seguridad.
El software fue encontrado en la memoria de los servidores, donde podía esconderse para recopilar contraseñas de los administradores del sistema de forma invisible, con lo que daba paso al control de los sistemas en remoto y abría las puertas a los procesos financieros de las compañías.
Después de los hechos sucedidos a finales del año pasado, Kaspersky Lab descubrió que dicho tipo de ataques se están produciendo a gran escala, afectando más de 140 redes de una amplia gama de sectores empresariales en 40 países, dentro de los que se encuentran Ecuador, Brasil, Kenia, Reino Unido, Rusia y los Estados Unidos.
La empresa europea añadió que aún se desconoce el origen de los ataques ya que el uso de código de explotación de fuente abierta, que son herramientas comunes de Windows y dominios desconocidos, hace casi imposible determinar si se trata de uno o varios grupos compartiendo los recursos.
«La determinación que muestran los atacantes por ocultar su actividad y hacer cada vez más difícil la detección y respuesta a los incidentes, explica la última tendencia en las técnicas antiforenses y del malware basado en la memoria, por lo que la investigación forense de la memoria se está convirtiendo en algo esencial para el análisis del malware y sus funciones”, indicó Sergey Golovanov, investigador principal de seguridad en la empresa.
Kaspersky advirtió que los atacantes aún se encuentran activos y que se están dirigiendo a la RAM, red y registros de los servidores, por lo que el uso de reglas Yara basadas en una exploración de archivos maliciosos no da resultado.
C$T-EVP