Los zombies que devoraron los sistemas de la región

Soy Digital

Cryptolocker, cifrados ATPs y hasta SINKHOLE son las amenazas filtradas en plataformas financieras, gubernamentales y de más.

Róger Gutiérrez

Los departamentos de IT no son Raccoon City, lugar donde se desarrolla la historia del famoso videojuego y película Resident Evil, en cual se propagó el Virus-T por accidente y con rapidez infectó a quienes no poseían un sistema inmunológico adecuado.

No obstante, algunas empresas e instituciones vivieron un escenario muy similar en Centroamérica, donde ataques y las ciberamenazas más poderosos que el Virus-T se infiltraron en sus sistemas, estamos hablando de códigos cifrados, cryptolockers, ransomware, botnets, SINKHOLE, entre otros, que dejaron en los sistemas informáticos invadidos.

Un ejemplo de esto fue el cryptolocker incurrido en los gobiernos de Guatemala y El Salvador, donde a cientos de personas les llegó un correo electrónico que decía provenir del Departamento de Finanzas del Ministerio de Hacienda.

Aquellos usuarios víctimas del engaño seguían el enlace en el correo y eran redirigidos a un sitio de descarga de archivos, desde el cual bajaban un documento de Word titulado: “Ministerio-de-Hacienda-Estado-de-Cuenta-Pendiente.doc”.

Para sorpresa de los usuarios que deseaban ver el contenido, el documento estaba vacío. Sin embargo, si la potencial víctima habilitaba o ya tenía habilitadas las macros, se ejecutaba un código que descargaba desde la web con una variante de Win32/Remtasu, el cual fue detectado por laboratorios ESET como VBA/ TrojanDownloader.Agent.IP.

Además: #CasoTrol: Liberan a principal sospechoso de phishing

“En esta oportunidad los cibercriminales ni siquiera agregaron contenido al documento. La URL maliciosa a la cual se intentó conectar el archivo fue utilizada en repetidas ocasiones y al momento de su identificación se descubrieron más de 70 códigos maliciosos que se propagaron desde la misma URL desde finales de setiembre anterior”, relató Camilo Gutiérrez, especialista de seguridad cibernética de ESET.

Otra invasión que fue conocida en la región fue en Costa Rica. Sebastian Bortnink, especialista en seguridad de ESET, comentó cómo había sido su primera experiencia con una víctima de ransomware. Cuando llegó al país se encontró con la sorpresa de que una entidad financiera en ese país había sido atacada y gran parte de sus servidores encriptados.

En consecuencia, la entidad, cuyo nombre no se reveló, hizo un pago al cibercriminal encargado del ataque de US$4 000 para que desencriptara los archivos y así el gerente de sistemas iba a perder su puesto de trabajo.

“Fue bastante interesante y a la vez desalentador saber que en la región centroamericana la cibercriminalidad haya llegado hasta esos niveles”, señaló Bortnink.

Este tipo de ataques ocurre por los códigos cifrados ATPs que se ejecutan en la web, aseguró Pavel Orozco, experto en seguridad para Latinoamérica de Forcepoint.

“El 90% de los ataques ocurridos en Centroamérica, y que hemos analizado, se produce a través de la web. Además, hemos visto que el 74% del tráfico en la red es cifrado en ATPs, lo que complica la identificación de códigos maliciosos y obliga a las organizaciones a obtener certificados de acceso a Internet”, afirmó Orozco.

Esto demuestra cómo los ataques se han incrementado en Centroamérica de manera alarmante y las filtraciones son cada vez más explícitas y sigilosas. Tan solo en el último año, según cifras de Forcepoint Security Labs, estos han aumentado en un 90% debido al emergente desarrollo en infraestructura y tecnología en la región, lamentablemente la mayor parte de estas vulnerabilidades son ejecutadas con éxito.

Así como el Virus-T se filtra para dejar sin vida a cualquier individuo y convertirlo en un carnívoro despiadado, los malware, botnet y ransomware, aprovechan cualquier oportunidad para invadir ordenadores y sistemas.

No se pierda: ¿Cómo legisla Honduras la protección de sus datos?

“Existen diversas formas de infiltración, sin embargo, la más común en Centroamérica y el Caribe se centra en la ingeniería social, la cual engaña a los usuarios dentro de la organización para que solo con un clic, una memoria USB, un correo electrónico o una página web, se pueda conseguir acceso a la organización”, afirmó Rafael Aguilera Zubiaga, experto en soluciones de seguridad de Symantec Corporation.

La novedad del caso se centra en que esta metodología de ataque ha incrementado en un 42%, en palabras de Pavel Orozco de Forcepoint, lo que suscita a los robos de datos y hasta dinero de las cuentas bancarias, personales y empresariales.

Desde México hasta Panamá incluyendo el Caribe, también ha sido notorio un incremento en los incidentes por SINKHOLE. Se trata de una red de botnet en la que caen los usuarios a través de fraude genérico por medio de sitios de ofuscación que conllevan a interfaces Man-In-The-Middle para hurtar la información sensible y luego sustraer datos de importancia para organizaciones y usuarios. Además, a través de esta técnica se generan ataques DDoS cuando los bonets logran ingresar a los sistemas empresariales.

Por ejemplo, en marzo y en mayo del 2015, el Sistema de Recaudación Centralizada (Sicere) de la Caja Costarricense de Seguro Social fue hackeado. Más de 522 000 registros laborales fueron vulnerados a través de botnet, código que rompió todas las líneas de acceso de las instituciones afiliadas, desconectó los servidores de almacenamiento por al menos 24 horas y permitió a los atacantes sustraer nombres, números de identificación y cuentas salariales, hasta que su IP fue rastreado y detuvieron el ataque.

De acuerdo con Camilo Gutiérrez de ESET Latinoamérica, a finales de 2015 se detectó la propagación de un nuevo código malicioso de tipo troyano llamado CoreBot. Esta amenaza fue diseñada para robar credenciales bancarios e información personal, tiene dentro de sus principales características y capacidades un módulo para ataques del tipo Man-In-The-Middle, para secuestrar información.

En el 2014, el Banco Popular de Costa Rica también fue víctima de un ataque Man-In-The-Middle, que tenía como compuesto un malware tipo skimming. Con este tipo de fraude se toma la información de la tarjeta de crédito o débito en algún comercio donde se hayan hecho pago con esa tarjeta, posteriormente las bandas cibercriminales hacen compras, en su mayoría por Internet, con dicha tarjeta.

“Nuestros sistemas de seguridad detectaron una anomalía en la cantidad de compras que se estaba realizando, por lo que generaron una alerta y bloquearon las transacciones en ese momento”, comentó Juan Carlos Li, subgerente general de negocios del Banco Popular.
A cada cliente se le sustrajeron cerca de US$250, lo que entre todos equivale a un total de US$25 000.

Otro caso sobre estos métodos de infiltración es el que presentó Rafael Aguilera, de Symantec, quien descubrió una serie de archivos maliciosos con características muy similares que se estuvieron propagando por países de Centroamérica y por México a través de la web y correos electrónicos.

Todas las muestras que se propagan por la región tenían extensión “Wscr” (Windows Screen Saver) y además todas utilizan algún ícono relacionado con Acrobat PDF Reader. Dentro de las funciones maliciosas de este código, se encontró que fueron diseñados para robar la información relacionada a Facebook, con una función que copiaba todo al portapapeles si el usuario se encontraba navegando en su página personal o empresarial y que además ejecutaba códigos exploit para aprovechar las brechas de seguridad de los ordenadores desde los que se ingresó a los perfiles y así penetró en los sistemas de un cierto número de empresas no mencionadas por la compañía de seguridad.

A su vez, los frameworks de estos exploit remotos estaban dotados de ransomware que a la hora de ser detonados dentro de los sistemas que ingresaron por los perfiles de Facebook, congelaron los controles de seguridad y secuestraron las redes empresariales.

“Algunos otros métodos se aprovechan de las vulnerabilidades de los sistemas operativos y de las aplicaciones para poder ingresar a redes internas. Las llamadas vulnerabilidades de día cero son las más críticas y estas hacen referencia a vulnerabilidades descubiertas y explotadas antes de que los fabricantes puedan aplicar una solución a la misma”, puntualizó Rafael Aguilera de Symantec.

Por su parte, ESET considera que la infección con códigos malicioso fue el incidente que más persistió durante el 2015, con un 30% de las empresas encuestadas en toda Latinoamérica que dijeron tener este problema. En segundo lugar, se encuentran incidentes como el fraude y las campañas de phishing con un 14. En tercer puesto, 1 de cada 10 compañías encuestadas en la región, dijeron tener incidentes de explotación de vulnerabilidades y accesos indebidos a la información.

Este artículo está clasificado como: , , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR