La oficina del FBI en Seattle (Washington, EEUU) advirtió el pasado mes de marzo que un cibertaque de ingeniaría social dirigido a varias importantes compañías había sido realizado por el conocido grupo de ciberatacantes FIN7, que parecía hasta entonces inactivo.

Hasta ahora, este grupo ha tenido motivaciones económicas y suele utilizar ataques con un alto grado de complejidad. De hecho, algunas fuentes lo han denominado como Carbanak por el malware utilizado con ese mismo nombre, del que ya abordamos sus avanzados Ataques Living Off The Land, pero varios analistas de ciberseguridad apuntan que podría tratarse de dos grupos distintos.

Ingeniería Social física y digital_

El grupo tuvo como objetivo en este ciberataque a empleados de alta dirección, recursos humanos y el departamento de IT de varias importantes compañías. Sin embargo, en esta ocasión no utilizaron una campaña de phishing tradicional, que suele utilizar el correo electrónico como vector de ataque, sino que emplearon un método de ingeniería social muy ingenioso, que combina señuelos físicos y por supuesto, digitales. Para ello, siguieron estos pasos:

usb-cytomic

  • Vector físico: un vector frecuente de ciberataques a usuarios convencionales es utilizar falsas promociones, bonos y regalos a través de banners o pop-ups que pueden ejecutar scripts maliciosos. FIN7 ha utilizado un cebo basado en la misma premisa, solo que ha usado el concepto de manera física: una carta de papel y una tarjeta regalo que simulaba provenir de la empresa Best Buy fue enviada a determinados cargos de grandes empresas.
  • Señuelo: la supuesta tarjeta regalo no venía sola. Indicaba que había que utilizar un pendrive USB que contenía la lista de regalos que podían canjear con ella. De esta manera, a través del engaño de la ingeniería social las víctimas conectaron voluntariamente estos dispositivos a sus equipos.
  • Activación: los dispositivos USB en realidad contenían un microcontrolador de Arduino, que fue programado para emular los teclados USB. El motivo de esto es que muchas soluciones de software convencionales permiten por defecto estos teclados sin hacer un escaneo adicional. Una vez permitida la conexión, el pendrive ejecuta un comando de Powershell para que un servidor remoto envíe el malware y sea instalado en el sistema.
  • Ejecución del malware: los analistas han identificado el malware como GRIFFON, un backdoor de Javascript que ya ha sido utilizado por el grupo a través de métodos diferentes. GRIFFON está diseñado para recibir cuatro módulos por separado, ejecutarse en la memoria del Sistema y devolver los resultados a un servidor controlado por el ciberatacante:
    1. El primer módulo efectúa un reconocimiento en el sistema comprometido.
    2. El segundo módulo ejecuta el script en la memoria.
    3. El tercer módulo hace capturas de pantalla.
    4. El cuarto módulo está diseñado para que el malware se mantenga en el sistema de manera permanente si así lo desean los ciberatacantes.

Confianza Cero en dispositivos externos_

Los CISO y responsables de ciberseguridad de grandes organizaciones suelen decir que el primer Firewall o barrera frente a los ciberataques son los propios miembros de una organización. En el caso de este ciberataque que utiliza ingeniería social mediante soportes físicos es evidente: el pendrive contiene elementos tecnológicos complejos y un malware avanzado como GRIFFON, pero si los empleados dudan de su procedencia y no lo conectan a sus sistemas, no puede ejecutarse. Por este motivo, los miembros de una organización deben estar concienciados de que no deben confiar en dispositivos físicos externos por norma general, salvo que estén absolutamente seguros de que son legítimos.

Con todo, esta presunción puede no ser suficiente y para ello conviene que las organizaciones cuenten con el apoyo de soluciones avanzadas que partan de la misma premisa. En este sentido, los clientes de Cytomic disponen de un enfoque de nula confianza en todas aplicaciones que intentan ejecutarse en los Endpoints, denegando su ejecución hasta que sea validado a través del servicio gestionado Zero-trust Application Service.

Cytomic EPDR cuenta con este servicio, pero además integra en una única solución un stack completo de tecnologías preventivas en el Endpoint, con capacidades EDR que previenen, detectan y responden a cualquier tipo de malware conocido y desconocido, ataques sin archivos y sin malware. De esta manera, aunque los ciberatacantes utilicen tecnologías que hagan parecer legítimos a sus vectores de ataque (como hizo FIN7 mediante emuladores de teclados USB) todos los Endpoints estarán monitorizados y analizados, ya que por defecto se parte de que cualquiera podría resultar una amenaza.