{"id":5105,"date":"2019-01-18T12:39:05","date_gmt":"2019-01-18T17:39:05","guid":{"rendered":"http:\/\/www.syspertec.com.co\/web\/?p=5105"},"modified":"2019-01-18T12:39:09","modified_gmt":"2019-01-18T17:39:09","slug":"darkvishnya-nueva-oleada-de-robos-ciberneticos-en-europa-del-este-con-tecnica-de-malware-latino","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/darkvishnya-nueva-oleada-de-robos-ciberneticos-en-europa-del-este-con-tecnica-de-malware-latino\/","title":{"rendered":"DarkVishnya: nueva oleada de robos cibern\u00e9ticos en Europa del Este con t\u00e9cnica de malware latino"},"content":{"rendered":"\n
Al igual que Prilex, este ataque fue creado para acceder remotamentae a la red <\/em>corporativa<\/em> de al menos 8 bancos en Europa O<\/em>riental.<\/em> La sofisticaci\u00f3n del <\/em>ataque<\/em> dificulta la detecci\u00f3n del malware, que ya ha generado decenas de millones de d\u00f3lares en p\u00e9rdidas. <\/em><\/h5>\n\n\n\n

Bogot\u00e1, Colombia \u2013 18 de enero de 2019<\/p>\n\n\n\n

Durante 2017 y 2018, investigadores de Kaspersky Lab participaron en una respuesta a incidentes de varios robos cibern\u00e9ticos a organizaciones financieras en Europa del Este. Los analistas descubrieron que, en cada caso, el acceso a la red corporativa se realiz\u00f3 a trav\u00e9s de un dispositivo desconocido, controlado por ciberdelincuentes, escondido en los edificios de las empresas y conectado a la red. Hasta el momento, se han atacado al menos a ocho bancos de la regi\u00f3n, con p\u00e9rdidas estimadas en decenas de millones de euros.<\/strong>
<\/p>\n\n\n\n

Los ciberdelincuentes utilizaron tres tipos de dispositivos: una laptop, una Raspberry Pi (computadora de una sola placa del tama\u00f1o de una tarjeta de cr\u00e9dito) o una Bash Bunny (herramienta especialmente dise\u00f1ada para automatizar y realizar ataques por USB), equipados con GPRS, m\u00f3dem 3G o LTE, que les permiti\u00f3 acceder de forma remota a la red corporativa de la entidad bancaria.
<\/p>\n\n\n\n

Una vez establecida la conexi\u00f3n, los cibercriminales intentaron tener acceso a los servidores web para hacerse con los datos que necesitaban para ejecutar RDP (protocolo de escritorio remoto) en una computadora y luego hacerse de dinero o datos. Este m\u00e9todo de ataque fileless<\/em> incluy\u00f3 el uso de kits de herramientas de ejecuci\u00f3n remota como Impacket, winexesvc.exe o psexec.exe. En la etapa final, los hackers utilizaron software de control remoto para mantener el acceso al equipo infectado.
<\/p>\n\n\n\n

\u201cDurante el \u00faltimo a\u00f1o y medio, observamos en los bancos un tipo de ataque completamente nuevo, bastante sofisticado y complejo en t\u00e9rminos de detecci\u00f3n. El punto de entrada a la red del banco permaneci\u00f3 desconocido durante mucho tiempo, ya que pod\u00eda situarse en cualquier oficina y en cualquier regi\u00f3n. Estos dispositivos desconocidos, introducidos secretamente por terceros y ocultos, no se pod\u00edan descubrir remotamente. Adem\u00e1s, el grupo especificado por detr\u00e1s de este APT utiliz\u00f3 utilidades y\/o aplicaciones leg\u00edtimos, lo que complic\u00f3 a\u00fan m\u00e1s la respuesta al incidente\u201d,<\/em> dijo Sergey Golovanov, analista de seguridad de Kaspersky Lab.<\/strong>
<\/p>\n\n\n\n

Esta t\u00e9cnica no es novedad en Am\u00e9rica Latina, ya que desde 2014 la regi\u00f3n se enfrenta a Prilex, amenaza que comenz\u00f3 atacando cajeros autom\u00e1ticos y luego evolucion\u00f3 para robar tarjetas de cr\u00e9dito protegidas por contrase\u00f1a y chip v\u00eda sistemas de punto de venta (POV). Seg\u00fan Fabio Assolini, analista senior de seguridad de Kaspersky Lab en Am\u00e9rica Latina, <\/strong>el malware brasile\u00f1o utiliza un blackbox y un m\u00f3dem 3G para realizar los ataques a los cajeros autom\u00e1ticos. \u201cLos ataques de blackbox se han vuelto cada vez m\u00e1s comunes contra grandes y medianas empresas, explotando fallas en la seguridad f\u00edsica y puntos de redes expuestos que permiten realizar un ataque que compromete el entorno digital de la empresa al puro estilo de \u2018Mr. Robot\u2019. Su detecci\u00f3n es dif\u00edcil, mas no imposible. Las empresas tienen que invertir en inventario de hardware y control de dispositivos conectados a la red, a fin de disminuir el \u2018shadow IT\u2019, adem\u00e1s de adoptar otras buenas pr\u00e1cticas de seguridad\u201d, explica el analista.
<\/p>\n\n\n\n

Para protegerse contra este tipo de robo digital poco frecuente, aconsejamos a las instituciones financieras que:
<\/p>\n\n\n\n