Cada vez con mayor frecuencia Kaspersky Lab se enfrenta
a la labor de investigar en detalle los incidentes de seguridad informática
relacionados con software malicioso.
Peculiaridades de los ataques
bancarios
- Los delincuentes usan activamente trucos de ingeniería social para obligar a los usuarios a abrir el fichero malicioso.
- El personal que tiene acceso a la información comercial importante y a las finanzas de la compañía necesita pasar cursos de fundamentos de seguridad informática. En la compañía deben regir políticas de seguridad que reduzcan al mínimo el riesgo de infección de la red corporativa por una simple negligencia de sus empleados.
- En los ataques selectivos contra blancos importantes pueden usarse nuevos exploits para vulnerabilidades aún no publicadas. En estos casos, los métodos comunes de detección de ataques, por ejemplo el IDS pueden resultar insuficientes.
- Pero los exploits de día cero son demasiado caros para usarlos en ataques contra compañías comunes. Como regla, en estos casos se usan exploits para vulnerabilidades ya conocidas. En situaciones similares la defensa puede consistir en actualizar a tiempo el software (sobre todo MS Office y Java) y usar una solución de protección de buena calidad, con tecnologías modernas de defensa contra exploits.
- Otra peculiaridad de algunos ataques es que utilizan software legal. Esta tendencia se está desarrollando activamente y podemos ver que en muchos ataques los delincuentes usan aplicaciones legítimas para obtener acceso remoto, descargar e iniciar ficheros maliciosos, etc.
- Los programas antivirus no detectan estos programas legales y la única tarea de los delincuentes al usarlos para sus objetivos es hacer que funcionen de forma camuflada. En este ataque resolvieron esta tarea mediante la modificación del fichero ejecutable del programa Remote Manipulator System, lo que nos permitió añadir la firma del fichero alterado a las bases antivirus.
- En caso de que se use software legal sin adulterar, la única solución será que el sistema de seguridad notifique de forma obligatoria si se lanza un programa potencialmente indeseable. Los usuarios, sobre todo aquellos que trabajan con documentos financieros y otros documentos importantes, tienen que recordar que ningún sistema de seguridad puede brindar una protección absoluta. También hay que prestar atención a las notificaciones del sistema y el comportamiento anormal del ordenador y avisar al servicio de seguridad sobre todos los sucesos sospechosos.
- Lo ideal sería que en los ordenadores usados para realizar pagos en el sistema de banca a distancia se usara el modo de prohibición predeterminada de software de terceros que no esté en la lista blanca. Lo mismo se aplica a los ordenadores en los que los usuarios corporativos trabajan con información comercial importante.
Conclusión
- En la actualidad, la principal fuerza que mueve a los delincuentes informáticos es el lucro. El acceso a los sistemas de banca en Internet es el acceso más directo y evidente al dinero de las compañías, y como consecuencia, a la posibilidad de robarlo. No es sorprendente que los sistemas de acceso a la banca por Internet se estén convirtiendo en un blanco cada vez más popular entre los delincuentes.
- Los sistemas de acceso remoto a la banca cuentan con una defensa integrada, con cuyo funcionamiento están bien familiarizados sus usuarios... y también los delincuentes. El uso de contraseñas, ficheros clave, llaves hardware y la limitación de acceso por dirección IP les da a los usuarios una falsa sensación de seguridad absoluta.
- Pero todas estas medidas por separado o en su conjunto no aumentan la seguridad si el equipo en que se ejecutan ya está comprometido. La contraseña se puede interceptar, el fichero clave se puede copiar y si los delincuentes crean un escritorio oculto, pueden utilizar la dirección IP original y la llave de software conectada por el contable.
- Con todo, durante la investigación de los incidentes solemos toparnos con frecuencia con la siguiente situación: en el ordenador se ejecutó un software malicioso, y después de cierto tiempo el antivirus actualizó sus basesš y lo borró. Después, en el ordenador donde ocurrió el incidente se sigue trabajando y realizando operaciones de contabilidad, con la seguridad de que la amenaza ha quedado atrás.
- Es necesario comprender que si el programa malicioso ya se ha ejecutado, hay que considerar que el ordenador está infectado, ya que con frecuencia el primer fichero es sólo un descargador. Los principales programas maliciosos que descargan el primer fichero se renuevan constantemente, para evitar que los detecten los antivirus. O, como ya hemos mencionado más arriba, se descargan programas legales configurados por los delincuentes para que se conecten con sus servidores. En esta situación los programas que llevan a cabo las acciones maliciosas quedan sin detectar. š
- Las pérdidas de la compañía causadas por este descuido pueden ser muy sensibles. Si en el ordenador que contiene información de importancia crítica se ha detectado un programa malicioso, hay tomar medidas inmediatas de reacción ante el incidente.
- Pero, como nos muestra nuestra experiencia, las organizaciones sólo toman medidas de emergencia cuando se revelan las consecuencias de los ataques de los delincuentes: pérdidas financieras o pérdida del acceso a servicios críticos. Y en la mayoría de los casos las medidas que toman las corporaciones como reacción a estos incidentes resultan inefectivas y con frecuencia complican la investigación.
- Como las variantes de los ataques pueden ser muchas, no existen métodos universales y ni siempre efectivos de reaccionar ante los incidentes. Por ejemplo, en algunos casos apagar de inmediato el ordenador permite conservar los datos que el programa malicioso podría borrar definitivamente después de cierto tiempo. En otras situaciones, apagar el ordenador puede llevar a que se pierdan de la memoria operativa del ordenador datos imprescindibles para la investigación. Sólo un especialista de investigación de incidentes puede tomar la decisión correcta.
- En cualquier caso, al surgir la primera sospecha de penetración, es necesario desconectar de Internet y de la red corporativa los equipos que se sospeche estén comprometidos y optar por los servicios de especialistas en la investigación de incidentes virales.
- Solo se pueden eliminar las consecuencias del incidente después de una investigación minuciosa.
