El ingenio de los ciberdelincuentes se agudiza hasta límites insospechados. El último en ser descubierto: códigos maliciosos que pueden ocultarse en la memoria de los servidores, de forma invisible, recopilando las contraseñas de los administradores de sistemas. Esto les permite controlar los sistemas de sus víctimas en remoto, consiguiendo el acceso a los procesos financieros.
De momento, y según investigaciones de Kaspersky Lab, ya son más de 140 redes empresariales, de varios sectores, los afectados en más de 40 países, entre ellos España. Entre las víctimas figuran bancos, empresas de telecomunicaciones y organizaciones, por poner algunos ejemplos.
La voz de alarma fue dada por la Comunidad de Estados Independientes (CIS), a finales del año pasado, al encontrar el software de pruebas de penetración Meterpreter en la memoria de sus servidores, en diferente lugar del que debería estar. Kasperky Lab fue el elegido para detectar el peligro que esto podría ocasionar en las organizaciones.
Si bien esta empresa de seguridad informática ha llegado a las conclusiones antes descritas, todavía desconocen quién puede estar detrás de los ataques ya que desde la compañía confirman que el uso del código de explotación de fuente abierta, funcionalidades Windows habituales y dominios desconocidos, hace prácticamente imposible determinar la autoría de los mismos y si son varios los que comparten las mismas herramientas. Eso sí, algunos grupos que utilizan estas tácticas son GCMAN y Carbanak.
Según el principal analista de seguridad de Kaspersky Lab, Sergey Golovanov, los ciberdelincuentes pretenden con estas técnicas ocultar su actividad y dificultar su detección. Por ello, asegura que “el estudio forense de la memoria se está convirtiéndose en algo crítico para el análisis de malware”. Es más, confirma que no se necesitan archivos de malware para extraer datos de la red con éxito y el uso de utilidades open source y software legítimo han imposible localizar el origen. Durante el Security Analyst Summit, que tendrá lugar entre el 2 y el 6 de abril, Kaspersky Lab presentará más detalles sobre esta investigación, aunque aquellos que estén preocupados por este tipo de ataques pueden recurrir a las herramientas de la firma de seguridad rusa, ya que las mismas pueden detectar este tipo de operaciones.
