DarkVishnya ataca desde dentro

Los ciberdelincuentes ya no tendrán que infectar tus ordenadores con malware si pueden conectar directamente sus dispositivos a tu red.

Normalmente, comenzamos la investigación de un ciberincidente con una tarea sencilla: buscar la fuente de infección. Para ello, buscamos un correo electrónico con un malware adjunto o un enlace malicioso o un servidor hackeado. Por regla general, los especialistas de seguridad cuentan con una lista de equipos, por lo que lo único que hay que hacer es dar con el dispositivo en el que se inició la actividad maliciosa. Pero ¿y si todos tus ordenadores están libres de infección, pero sigue habiendo actividad maliciosa?

Nuestros expertos han investigado recientemente esa situación y han descubierto que los atacantes conectaban físicamente su propio equipo a la red corporativa.

Este tipo de ataque, conocido como DarkVishnya, comienza cuando un delincuente lleva un dispositivo a la oficina de la víctima y lo conecta a la red corporativa. Desde ese dispositivo pueden explorar la infraestructura informática de la compañía en remoto, interceptar contraseñas, leer información desde carpetas públicas y mucho más.

Si quieres conocer toda la información técnica de este ataque, no te pierdas el artículo de Securelist. En este caso en particular, los delincuentes se fijaron como objetivo varios bancos del Este de Europa. No obstante, este método también se podría utilizar contra una gran compañía. De hecho, cuanto más grande, mejor, pues es mucho más fácil esconder un dispositivo malicioso en una gran oficina y puede ser muy efectivo si la empresa cuenta con sedes por todo el mundo conectadas a una sola red.

Dispositivos

Durante la investigación de este caso, nuestros expertos dieron con tres tipos de dispositivos. Desconocemos si todos fueron implantados por un solo grupo o si ha habido varios actores, pero todos los ataques utilizaban el mismo principio. Estos dispositivos fueron:

  • Un netbook o portátil económico. Los atacantes no necesitan uno de última generación. Pueden comprar uno usado, conectarle un módem 3G e instalar un programa de control remoto. Entonces, esconden el dispositivo para evitar ser detectados y conectan dos cables: uno a la red y otro a la fuente de alimentación.
  • Un Raspberry Pi. Se trata de un ordenador en miniatura económico y discreto que se alimenta a través de una conexión USB. Es mucho fácil de adquirir y ocultar en una oficina que un portátil. Puede conectarse a un ordenador, donde quedará camuflado entre cables o, por ejemplo, en el puerto USB de una televisión del recibidor o de la sala de espera.
  • Un Bash Bunny. Diseñado para utilizarse como una herramienta de pruebas de penetración, el Bash Bunny se comercializa libremente en foros de hackers. No necesita una conexión de red especializada, funciona mediante el puerto USB de un ordenador. Por un lado, esto facilita el escondite, pues parece una simple memoria USB, y, por otro, la tecnología de control del dispositivo puede reaccionar inmediatamente, lo que hace que esta opción tenga menos probabilidades de éxito.

¿Cómo se conectan?

Incluso en las empresas que se involucran en la gestión de la seguridad, no resulta imposible la implantación de este tipo de dispositivos. Los mensajeros, los solicitantes de empleo y los representantes de clientes y socios pueden entrar en las oficinas, por lo que los delincuentes pueden hacerse pasar por cualquiera de ellos.

Además, los conectores Ethernet se encuentran por todas partes en las oficinas (en pasillos, salas de reuniones, recibidores y demás). Si echas un vistazo en un centro de negocios, seguro que encuentras un sitio en el que esconder un pequeño dispositivo conectado a la red y a la fuente de alimentación.

¿Qué deberías hacer?

Este tipo de ataque cuenta, por lo menos, con un punto débil: el delincuente debe ir a la oficina y conectar un dispositivo físicamente. Por tanto, deberías restringir el acceso a la red desde los sitios accesibles a los intrusos.

  • Desconecta los medios Ethernet de las zonas públicas que no se estén utilizando. Si no es posible, al menos aíslalos en un segmento red aparte.
  • Ubica los conectores Ethernet a la vista de las cámaras de seguridad (esto podría frenar a los ciberdelincuentes o ser de ayuda en caso de que necesites investigar un incidente).
  • Utiliza una solución de seguridad con tecnologías de control de dispositivos de confianza (como ).
  • Considera la opción de utilizar una solución especializada para supervisar las anomalías y la actividad sospechosa de la red (por ejemplo, Kaspersky Anti Targeted Attack Platform).
Consejos