Nuestros expertos han descubierto que los cibercriminales se están centrando en las pymes y que les están prestando especial atención a los contadores. Esta elección es bastante lógica, ya que buscan acceso directo al apartado financiero. La manifestación más reciente de esta tendencia es el aumento de la actividad de troyanos, sobre todo Buhtrap o RTM que, aunque tienen diferentes funciones y formas de expansión, cuentan con el mismo propósito: robar dinero a cuentas de empresas.
Ambas amenazas son un peligro para las compañías informáticas, las que ofrecen servicios legales y las de producción a menor escala. La explicación podría ser el bajo presupuesto que invierten en seguridad en comparación con las grandes empresas del sector financiero.
RTM
Normalmente, RTM infecta a las víctimas mediante correos phishing que imitan correspondencia típica empresarial (incluyendo frases como “solicitud de devolución”, “copias de los documentos del último mes” o “solicitud de pago”). La infección se produce inmediatamente después de dar clic en el enlace o abrir un archivo adjunto, tras la cual los operadores consiguen acceso total al sistema infectado.
En el 2017, nuestros sistemas registraron 2376 ataques por parte de RTM, frente a los 130,000 del 2018. Y con menos de dos meses transcurridos este 2019, ya son más de 30,000 usuarios los que se han enfrentado a este troyano. Por ahora, podemos afirmar que RTM es uno de los troyanos financieros más activos, por lo que, si la tendencia continúa, superará el récord del año pasado.
El escenario principal de RTM es Rusia, sin embargo, nuestros expertos creen que pronto cruzará fronteras y atacará a usuarios de otros países.
Buhtrap
El primer encuentro con Buhtrap se registró en el 2014. Por aquella época, era el nombre de un grupo de ciberdelincuentes que robaba dinero de establecimientos financieros en Rusia por valor de, al menos, 150,000 dólares por golpe. Después de que se hicieran públicos los códigos fuente de sus herramientas en el 2016, el nombre de Buhtrap se utilizó para el troyano financiero.
Buhtrap resurgió a principios del 2017 en la campaña TwoBee, donde se utilizó principalmente como medio de entrega de malware. En marzo del año pasado, saltó a las noticias (literalmente) difundiéndose a través de varios medios de comunicación importantes en cuyas páginas principales se implantaron scripts maliciosos. Estos scripts ejecutaron un exploit para Internet Explorer en los navegadores de los visitantes.
Un par de meses después, en julio, los cibercriminales redujeron su audiencia y se concentraron en un grupo de usuarios en particular: los contadores que trabajan en pequeñas y medianas empresas y, por ello, crearon sitios web con información relevante para este sector.
Recordamos este malware debido a esta nueva tendencia, que comenzó a finales del 2018 y que continúa hoy en día. En total, nuestros sistemas de protección evitaron más de 5000 intentos de ataques Buhtrap, 250 de ellos desde principios del 2019.
Al igual que la última vez, Buhtrap se está propagando a través de exploits incrustados en medios de noticias. Como es habitual, los usuarios de Internet Explorer se encuentran en el grupo de riesgo. Internet Explorer utiliza un protocolo cifrado para descargar malware de los sitios infectados y eso dificulta el análisis y permite que el malware evite el aviso de algunas soluciones de seguridad. Y sí, todavía utiliza una vulnerabilidad que se reveló en el 2018.
Como resultado de infección, tanto Buhtrap como RTM proporcionan acceso completo a las estaciones de trabajo comprometidas. Esto permite a los cibercriminales modificar los archivos utilizados para intercambiar datos entre los sistemas de contabilidad y banca. Estos archivos tienen nombres predeterminados y no cuentan con medidas de protección adicionales, por lo que los atacantes pueden cambiarlos como les plazca. Estimar los daños es todo un desafío, pero como hemos descubierto, los criminales están desviando fondos en transacciones que no exceden los 15,000 dólares.
¿Qué puedes hacer?
Para proteger tu negocio de tales amenazas, te recomendamos que prestes atención especial a la protección de las computadoras que tengan acceso a sistemas financieros, como los del departamento de contabilidad y administración. Aunque, evidentemente, el resto de los equipos también necesitan protección. He aquí unos cuantos consejos prácticos:
- Instala parches y actualizaciones de seguridad para todo el software tan pronto como sea posible.
- Prohíbe, en la medida de lo posible, el uso de herramientas de administración en remoto en las computadoras del equipo de contabilidad.
- Prohíbe la instalación de programas sin aprobación.
- Mejora la concientización de la seguridad general de los empleados que trabajan con la economía de la empresa y céntrate en las prácticas antiphishing.
- Instala una solución de seguridad proactiva con tecnologías de análisis de comportamiento activo como Kaspersky Endpoint Security for Business.