El ataque, bautizado como ShadowPad, ha sido detectado en Brasil, Chile, Colombia, M\u00e9xico y Per\u00fa<\/p>\n
S\u00e3o Paulo, 16 de agosto de 2017<\/p>\n
Los expertos de Kaspersky Lab han descubierto una puerta trasera plantada en un software para el control de servidores que utilizan cientos de grandes empresas de todo el mundo. Cuando se activa, esta puerta trasera permite a los atacantes descargar m\u00e1s m\u00f3dulos maliciosos o robar datos. Kaspersky Lab ha alertado a NetSarang, el proveedor del software afectado, el cual ha eliminado r\u00e1pidamente el c\u00f3digo malicioso y emitido una <\/strong>actualizaci\u00f3n para sus clientes.<\/strong><\/p>\n ShadowPad es uno de los mayores ataques conocidos de cadena de suministro. Si no hubiera sido detectado y enmendado tan r\u00e1pidamente, podr\u00eda haberse dirigido a cientos de organizaciones en todo el mundo.<\/p>\n En julio de 2017, el equipo de Investigaci\u00f3n y An\u00e1lisis Global (GReAT) de Kaspersky Lab fue contactado por uno de sus socios, una instituci\u00f3n financiera. Los especialistas en seguridad de la organizaci\u00f3n estaban preocupados por unas solicitudes sospechosas de DNS (servidor de nombres de dominio) originadas en un sistema que interven\u00eda en el proceso de transacciones financieras. Investigaciones adicionales mostraron que la fuente de estas solicitudes era un software de control de servidores producido por una compa\u00f1\u00eda leg\u00edtima y utilizado por cientos de clientes en industrias como las de servicios financieros, educaci\u00f3n, telecomunicaciones, manufactura, energ\u00eda y transporte. El hallazgo m\u00e1s preocupante era el hecho de que el proveedor no ten\u00eda intenciones de que el software realizara estas peticiones.<\/p>\n Adem\u00e1s, el an\u00e1lisis de Kaspersky Lab mostr\u00f3 que las solicitudes sospechosas eran en realidad el resultado de la actividad de un m\u00f3dulo malicioso oculto dentro de una versi\u00f3n reciente del software leg\u00edtimo. Despu\u00e9s de la instalaci\u00f3n de una actualizaci\u00f3n de software infectada, el m\u00f3dulo malicioso comenzar\u00eda a enviar peticiones de DNS a dominios espec\u00edficos (su servidor de mando y control) con una frecuencia de una vez cada ocho horas. La solicitud contendr\u00eda informaci\u00f3n b\u00e1sica sobre el sistema de la v\u00edctima. Si los atacantes consideraban que el sistema era \u201cinteresante\u201d, el servidor de mando responder\u00eda y activar\u00eda una plataforma de puerta trasera completa que se desplegar\u00eda silenciosamente dentro de la computadora atacada. Despu\u00e9s de eso, a pedido de los atacantes, la plataforma de puerta trasera ser\u00eda capaz de descargar y ejecutar c\u00f3digo malicioso adicional.<\/p>\n Tras el descubrimiento, los investigadores de Kaspersky Lab inmediatamente contactaron a NetSarang. La empresa reaccion\u00f3 r\u00e1pidamente y emiti\u00f3 una versi\u00f3n actualizada del software sin el c\u00f3digo malicioso.<\/p>\n Hasta ahora, de acuerdo con la investigaci\u00f3n de Kaspersky Lab, el m\u00f3dulo malicioso se ha activado en Hong Kong, <\/strong>mientras que el software troyanizado ha sido detectado en varios pa\u00edses de Am\u00e9rica Latina, incluyendo Brasil, Chile, Colombia, M\u00e9xico y Per\u00fa.<\/strong> Sin embargo, el modulo malicioso podr\u00eda estar latente en muchos otros sistemas en todo el mundo, especialmente si los usuarios no han instalado la versi\u00f3n actualizada del software afectado.<\/p>\n Seg\u00fan Dmitry Bestuzhev, Director del Equipo de Investigaci\u00f3n y An\u00e1lisis para Kaspersky Lab Am\u00e9rica Latina,<\/em><\/strong> este ataque traspasa los mecanismos de seguridad, lo que le facilita a los atacantes acceso a m\u00e1quinas de administraci\u00f3n de la red, servidores, etc. \u201cLos atacantes llegan a ser intrusos indetectables ya que con las mismas herramientas legitimas de administraci\u00f3n del cliente troyanizado, pueden llegar a tener el control de sistemas cr\u00edticos como servidores, estaciones de trabajo, archivos, etc. y extraer informaci\u00f3n, robar contrase\u00f1as, base de datos o simplemente espiar la actividad de sus v\u00edctimas\u201d, a\u00f1adi\u00f3 Bestuzhev.\u00a0\u00a0 <\/em><\/p>\n \u201cEs importante resaltar que hoy en d\u00eda, una compa\u00f1\u00eda de cualquier sector puede ser v\u00edctima de un ataque avanzado simplemente por usar un software com\u00fanmente utilizado a nivel mundial. Esto hace que pa\u00edses de Latinoam\u00e9rica, de una forma autom\u00e1tica, lleguen a estar tambi\u00e9n en lista de objetivos potenciales de atacantes que operaran desde o fuera de la regi\u00f3n\u201d, concluy\u00f3 Bestuzhev.<\/strong>\u00a0 <\/em><\/p>\n Al analizar las herramientas, t\u00e9cnicas y procedimientos utilizados por los atacantes, los investigadores de Kaspersky Lab llegaron a la conclusi\u00f3n de que existen algunas similitudes que apuntan a las variantes del malware PlugX utilizadas por el Winnti APT, un conocido grupo de ciberespionaje de habla china. Sin embargo, esta informaci\u00f3n no es suficiente para establecer una conexi\u00f3n precisa con estos agentes.<\/p>\n \u201cShadowPad es un ejemplo de lo peligroso y extenso que puede ser un ataque exitoso en la cadena de suministro. Con las oportunidades de alcance y recopilaci\u00f3n de datos que da a los atacantes, lo m\u00e1s probable es que se reproduzca una y otra vez con alg\u00fan otro componente de software ampliamente utilizado. Por suerte, NetSarang fue r\u00e1pido al reaccionar a nuestra notificaci\u00f3n y emiti\u00f3 una actualizaci\u00f3n de software limpia, lo que muy probablemente evit\u00f3 cientos de ataques con robo de datos a sus clientes. Sin embargo, este caso muestra que las grandes empresas deben confiar en soluciones avanzadas capaces de vigilar la actividad de la red y detectar anomal\u00edas. Es aqu\u00ed donde usted puede detectar la actividad maliciosa, incluso si los atacantes fueran lo suficientemente avanzados como para ocultar su malware dentro de un software leg\u00edtimo \u201c,<\/em> dice Igor Soumenkov, experto en seguridad, Equipo de Investigaci\u00f3n y An\u00e1lisis Global, Kaspersky Lab.<\/strong><\/p>\n Todos los productos de Kaspersky Lab detectan y protegen contra el malware ShadowPad como \u201cBackdoor.Win32.ShadowPad.a\u201d.<\/p>\n Kaspersky Lab recomienda a los usuarios actualizarse inmediatamente a la versi\u00f3n m\u00e1s reciente del software NetSarang, del cual se ha eliminado el m\u00f3dulo malicioso, y comprobar si en sus sistemas hay peticiones de DNS a dominios no habituales.<\/p>\n