ataques dirigidos

DarkVishnya ataca desde dentro

Los ciberdelincuentes ya no tendrán que infectar tus computadoras con malware si pueden conectar directamente sus dispositivos a tu red.

Nikolay Pankov
11 Dic 2018

Normalmente, comenzamos la investigación de un ciberincidente con una tarea sencilla: buscar la fuente de infección. Para ello, buscamos un correo electrónico con un malware adjunto, un enlace malicioso o un servidor hackeado. Por regla general, los especialistas de seguridad cuentan con una lista de equipos, por lo que lo único que hay que hacer es dar con el dispositivo en el cual se inició la actividad maliciosa. Pero ¿y si todas tus computadoras están libres de infección, pero sigue habiendo actividad maliciosa?

Nuestros expertos han investigado recientemente esta situación y descubrieron que los atacantes conectaban físicamente su propio equipo a la red corporativa.

Este tipo de ataque, conocido como DarkVishnya, comienza cuando un delincuente lleva un dispositivo a la oficina de la víctima y lo conecta a la red corporativa. Desde ese dispositivo pueden explorar la infraestructura informática de la compañía a distancia, interceptar contraseñas, leer información desde carpetas públicas y mucho más.

Si quieres conocer toda la información técnica de este ataque, no te pierdas el artículo de Securelist. En este caso en particular, los delincuentes se fijaron como objetivo varios bancos del Este de Europa. No obstante, este método también se podría utilizar contra una gran compañía. De hecho, cuanto más grande, mejor, pues es mucho más fácil esconder un dispositivo malicioso en una gran oficina y puede ser muy efectivo si la empresa cuenta con sedes por todo el mundo conectadas a una sola red.

Dispositivos

Durante la investigación de este caso, nuestros expertos dieron con tres tipos de dispositivos. Desconocemos si todos fueron implantados por un solo grupo o si hubieron varios implicados, pero todos los ataques utilizaban el mismo principio. Estos dispositivos fueron:

Una netbook o laptop económica. Los atacantes no necesitan un modelo insignia, pueden comprar uno usado, conectarle un módem 3G e instalar un programa de control remoto. Entonces, esconden el dispositivo para evitar ser detectados y conectan dos cables: uno a la red y otro a la fuente de alimentación.
Un Raspberry Pi. Se trata de una computadora en miniatura, económica y discreta que se alimenta a través de una conexión USB, es mucho fácil de adquirir y ocultar en una oficina que una laptop. Puede conectarse a otra computadora, donde quedará camuflada entre cables o, por ejemplo, en el puerto USB de una televisión de la recepción o de la sala de espera.
Un Bash Bunny. Diseñado para utilizarse como una herramienta de pruebas de penetración, el Bash Bunny se comercializa libremente en los foros de hackers. No necesita una conexión red especializada, funciona mediante el puerto USB de una computadora. Por un lado, esto facilita el escondite, pues parece una simple memoria USB, y, por otro, la tecnología de control del dispositivo puede reaccionar inmediatamente, lo que hace que esta opción tenga menos probabilidades de éxito.

¿Cómo se conectan?

Incluso en las empresas que se involucran en la gestión de la seguridad, no resulta imposible la implantación de este tipo de dispositivos. Los mensajeros, los solicitantes de empleo y los representantes de clientes y socios pueden entrar en las oficinas, por lo que los delincuentes pueden hacerse pasar por cualquiera de ellos.

Además, los conectores Ethernet se encuentran por todas partes en las oficinas (en pasillos, salas de reuniones, recibidores y demás). Si echas un vistazo en un centro de negocios, seguro que encuentras un sitio en donde esconder un pequeño dispositivo conectado a la red y a la fuente de alimentación.

¿Qué deberías hacer?

Este tipo de ataque cuenta, por lo menos, con un punto débil: el delincuente debe ir a la oficina y conectar un dispositivo físicamente. Por tanto, deberías restringir el acceso a la red desde los sitios accesibles a los intrusos.

Desconecta los medios Ethernet de las zonas públicas que no se estén utilizando. Si no es posible, al menos mantenlos aislados en un segmento red a parte.
Ubica los conectores Ethernet a la vista de las cámaras de seguridad (esto podría frenar a los ciberdelincuentes o ser de ayuda en caso de que necesites investigar un incidente).
Utiliza una solución de seguridad con tecnologías de control de dispositivos de confianza (como Kaspersky Endpoint Security for Business).
Considera la opción de utilizar una solución especializada para supervisar las anomalías y la actividad sospechosa de la red (por ejemplo, Kaspersky Anti Targeted Attack Platform).

Las impresoras se vuelven locas

50.000 impresoras de todo el mundo han imprimido un folleto que apoya al youtuber PewDiePie. ¿Cómo puedes proteger tu impresora de los ciberdelincuentes?

Privacidad y niños

Soluciones Targeted Security

Otras soluciones

OTRA INDUSTRIA

OTROS PRODUCTOS

OTROS SERVICIOS

DarkVishnya ataca desde dentro

MATA: un marco de malware multiplataforma

Agentes de amenazas dominan tácticas de ‘banderas falsas’ para engañar a víctimas e investigadores de seguridad

Las impresoras se vuelven locas

Consejos

Un crypto-robo de 500 millones de dólares

Llueven bitcoin: giveaway falso de Nvidia

Browser-in-the-browser: una nueva técnica de phishing

¿Quieres invertir por internet? Ten primero en cuenta estos consejos de seguridad

Suscríbete y recibe nuestras publicaciones en tu correo

Soluciones para el hogar

Empresas pequeñas

Empresas medianas

Corporativo

Securelist

Eugene Personal Blog