{"id":13846,"date":"2018-12-11T09:05:23","date_gmt":"2018-12-11T15:05:23","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13846"},"modified":"2019-11-22T02:53:18","modified_gmt":"2019-11-22T08:53:18","slug":"dark-vishnya-attack","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/dark-vishnya-attack\/13846\/","title":{"rendered":"DarkVishnya ataca desde dentro"},"content":{"rendered":"<p>Normalmente, comenzamos la investigaci\u00f3n de un ciberincidente con una tarea sencilla: buscar la fuente de infecci\u00f3n. Para ello, buscamos un correo electr\u00f3nico con un <em>malware<\/em> adjunto, un enlace malicioso o un servidor <em>hackeado<\/em>. Por regla general, los especialistas de seguridad cuentan con una lista de equipos, por lo que lo \u00fanico que hay que hacer es dar con el dispositivo en el cual se inici\u00f3 la actividad maliciosa. Pero \u00bfy si todas tus computadoras est\u00e1n libres de infecci\u00f3n, pero sigue habiendo actividad maliciosa?<\/p>\n<p>Nuestros expertos han investigado recientemente esta situaci\u00f3n y descubrieron que los atacantes conectaban f\u00edsicamente su propio equipo a la red corporativa.<\/p>\n<p>Este tipo de ataque, conocido como DarkVishnya, comienza cuando un delincuente lleva un dispositivo a la oficina de la v\u00edctima y lo conecta a la red corporativa. Desde ese dispositivo pueden explorar la infraestructura inform\u00e1tica de la compa\u00f1\u00eda a distancia, interceptar contrase\u00f1as, leer informaci\u00f3n desde carpetas p\u00fablicas y mucho m\u00e1s.<\/p>\n<p>Si quieres conocer toda la informaci\u00f3n t\u00e9cnica de este ataque, no te pierdas el <a href=\"https:\/\/securelist.com\/darkvishnya\/89169\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo de Securelist.<\/a> En este caso en particular, los delincuentes se fijaron como objetivo varios bancos del Este de Europa. No obstante, este m\u00e9todo tambi\u00e9n se podr\u00eda utilizar contra una gran compa\u00f1\u00eda. De hecho, cuanto m\u00e1s grande, mejor, pues es mucho m\u00e1s f\u00e1cil esconder un dispositivo malicioso en una gran oficina y puede ser muy efectivo si la empresa cuenta con sedes por todo el mundo conectadas a una sola red.<\/p>\n<p><strong>Dispositivos<\/strong><\/p>\n<p>Durante la investigaci\u00f3n de este caso, nuestros expertos dieron con tres tipos de dispositivos. Desconocemos si todos fueron implantados por un solo grupo o si hubieron varios implicados, pero todos los ataques utilizaban el mismo principio. Estos dispositivos fueron:<\/p>\n<ul>\n<li><em>Una netbook o laptop econ\u00f3mica<\/em>. Los atacantes no necesitan un modelo insignia, pueden comprar uno usado, conectarle un m\u00f3dem 3G e instalar un programa de control remoto. Entonces, esconden el dispositivo para evitar ser detectados y conectan dos cables: uno a la red y otro a la fuente de alimentaci\u00f3n.<\/li>\n<li><em>Un Raspberry Pi<\/em>. Se trata de una computadora en miniatura, econ\u00f3mica y discreta que se alimenta a trav\u00e9s de una conexi\u00f3n <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/usb-universal-serial-bus\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">USB<\/a>, es mucho f\u00e1cil de adquirir y ocultar en una oficina que una laptop. Puede conectarse a otra computadora, donde quedar\u00e1 camuflada entre cables o, por ejemplo, en el puerto USB de una televisi\u00f3n de la recepci\u00f3n o de la sala de espera.<\/li>\n<li><em>Un Bash Bunny<\/em>. Dise\u00f1ado para utilizarse como una herramienta de pruebas de penetraci\u00f3n, el Bash Bunny se comercializa libremente en los foros de <em>hackers<\/em>. No necesita una conexi\u00f3n red especializada, funciona mediante el puerto USB de una computadora. Por un lado, esto facilita el escondite, pues parece una simple memoria USB, y, por otro, la tecnolog\u00eda de control del dispositivo puede reaccionar inmediatamente, lo que hace que esta opci\u00f3n tenga menos probabilidades de \u00e9xito.<\/li>\n<\/ul>\n<p><strong>\u00bfC\u00f3mo se conectan?<\/strong><\/p>\n<p>Incluso en las empresas que se involucran en la gesti\u00f3n de la seguridad, no resulta imposible la implantaci\u00f3n de este tipo de dispositivos. Los mensajeros, los solicitantes de empleo y los representantes de clientes y socios pueden entrar en las oficinas, por lo que los delincuentes pueden hacerse pasar por cualquiera de ellos.<\/p>\n<p>Adem\u00e1s, los conectores Ethernet se encuentran por todas partes en las oficinas (en pasillos, salas de reuniones, recibidores y dem\u00e1s). Si echas un vistazo en un centro de negocios, seguro que encuentras un sitio en donde esconder un peque\u00f1o dispositivo conectado a la red y a la fuente de alimentaci\u00f3n.<\/p>\n<p><strong>\u00bfQu\u00e9 deber\u00edas hacer?<\/strong><\/p>\n<p>Este tipo de ataque cuenta, por lo menos, con un punto d\u00e9bil: el delincuente debe ir a la oficina y conectar un dispositivo f\u00edsicamente. Por tanto, deber\u00edas restringir el acceso a la red desde los sitios accesibles a los intrusos.<\/p>\n<ul>\n<li>Desconecta los medios Ethernet de las zonas p\u00fablicas que no se est\u00e9n utilizando. Si no es posible, al menos mantenlos aislados en un segmento red a parte.<\/li>\n<li>Ubica los conectores Ethernet a la vista de las c\u00e1maras de seguridad (esto podr\u00eda frenar a los ciberdelincuentes o ser de ayuda en caso de que necesites investigar un incidente).<\/li>\n<li>Utiliza una soluci\u00f3n de seguridad con tecnolog\u00edas de control de dispositivos de confianza (como <a href=\"https:\/\/go.kaspersky.com\/IB_Trial_Advanced_SOC_SP.html?utm_source=smm_kd&amp;utm_medium=es_kd_o_171019&amp;_ga=2.67657041.1979429958.1544457638-466952909.1541549164\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Endpoint Security for Business<\/a>).<\/li>\n<li>Considera la opci\u00f3n de utilizar una soluci\u00f3n especializada para supervisar las anomal\u00edas y la actividad sospechosa de la red (por ejemplo,<a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/anti-targeted-attack-platform\" target=\"_blank\" rel=\"noopener\"> Kaspersky Anti Targeted Attack Platform<\/a>).<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Los ciberdelincuentes ya no tendr\u00e1n que infectar tus computadoras con malware si pueden conectar directamente sus dispositivos a tu red. <\/p>\n","protected":false},"author":700,"featured_media":13847,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,2795,3539],"tags":[638,2767],"class_list":{"0":"post-13846","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"tag-amenazas","11":"tag-ataques-dirigidos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/dark-vishnya-attack\/13846\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/dark-vishnya-attack\/14759\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/dark-vishnya-attack\/12362\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/dark-vishnya-attack\/16699\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/dark-vishnya-attack\/14893\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/dark-vishnya-attack\/17490\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/dark-vishnya-attack\/16679\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/dark-vishnya-attack\/21833\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/dark-vishnya-attack\/5483\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/dark-vishnya-attack\/24867\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/dark-vishnya-attack\/11180\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/dark-vishnya-attack\/10130\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/dark-vishnya-attack\/18229\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/dark-vishnya-attack\/22124\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/dark-vishnya-attack\/17721\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/dark-vishnya-attack\/21608\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/dark-vishnya-attack\/21606\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ataques-dirigidos\/","name":"ataques dirigidos"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/13846","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=13846"}],"version-history":[{"count":4,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/13846\/revisions"}],"predecessor-version":[{"id":15922,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/13846\/revisions\/15922"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/13847"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=13846"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=13846"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=13846"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}