Las entidades financieras de varios países de Latinoamérica muestran inquietud por su ciberseguridad. Y tienen razones más que de sobra para ello: muchos de sus clientes están siendo atacados para conseguir todo tipo de credenciales y lo peor es que lo están haciendo sin ningún tipo de archivo. En este sentido, los ciberdelincuentes utilizan un modelo de ciberataque sofisticado y estructurado en varias fases:

infpgrafía malware bancario cytomic

1.- Intrusión. El malware se conecta a una URL para descargar códigos de Powershell, una herramienta de Windows usada generalmente para el volcado de credenciales, y modifica el nombre de los archivos para hacerlos pasar por herramientas totalmente legítimas del sistema operativo.

2.- Engaño. Dicho malware provoca que el equipo afectado se reinicie y muestra una pantalla de bloqueo que en realidad es falsa. De este modo conseguirá obtener sus credenciales de acceso.

3.- Difusión. En el siguiente paso el ciberatacante consigue acceder a varias herramientas del afectado para enviar direcciones de email y para otorgarse privilegios de administrador del equipo informático.

4.- Bloqueo. Una vez iniciada la sesión, el malware descarga nuevas herramientas de intrusión que toman el control del dispositivo y accede a las búsquedas del usuario para obtener sus credenciales bancarias y distribuirlas.

Estos bancos no son los primeros que se someten a problemas similares. En 2017, más de 100 bancos de todo el mundo tuvieron que enfrentarse y sufrir las consecuencias de Duqu 2.0, un malware que tampoco se insertaba dentro de un fichero, sino en la propia memoria RAM de los ordenadores. El objetivo, de nuevo, obtener las credenciales de los administradores de sistemas para conseguir acceder al control de los servidores de las entidades financieras y, desde ahí, operar sin ser descubiertos.

Las entidades financieras son uno de los sectores que más sufre este tipo de tendencias. Según un informe de Accenture, el 42% de los ciberataques a entidades financieras tardan cerca de una semana en ser detectados y, de acuerdo con el FMI, las pérdidas ocasionadas por dichos ciberataques pueden ocasionar unos gastos de entre el 10% y el 30% de un negocio neto anual.

La clave: atacar sin ser detectado_

Cualquier tipo de ataque supone un problema para proteger la ciberseguridad empresarial de una organización, pero en este tipo de casos hay un problema añadido: el ciberataque no puede ser detectado por las soluciones de ciberseguridad tradicionales.

Hay dos factores que provocan este hecho. En primer lugar, al no existir archivo, dichas soluciones no son capaces de localizarlo y clasificarlo como una amenaza, con lo que sus acciones permanecerán invisibles. Por otro lado, el ciberataque estará recurriendo a herramientas totalmente legítimas del sistema informático para ejecutar la intrusión, con lo que tampoco será posible que sus acciones sean detectadas en un análisis de amenazas tradicional.

Ese es el mayor problema de los ataques Living off the Land (LotL): los factores habitualmente analizados por muchas soluciones de ciberseguridad (vinculación a un archivo o uso de herramientas ilegítimas) no existirán en este caso, con lo que los ciberdelincuentes podrán actuar sin ser detectados. En ocasiones, incluso, podrán hacer que la infección actúe durante meses antes de dar el golpe definitivo que la descubra.

 Las consecuencias para un banco_

Cualquier empresa que sea atacada con malware sin archivo puede sufrir duras consecuencias, pero quizá los bancos sean una de sus víctimas más vulnerables, ya que el abanico de peligros y consecuencias financieras crece de manera exponencial frente a otro tipo de compañías.

Y es que, para empezar, un ciberataque de este tipo dirigido a los clientes del banco puede desembocar no solo en un robo de credenciales, sino también en fraudes y sustracciones de fondos, con las consecuencias lógicas de imagen y reputación para la compañía. Y si el ataque va dirigido al banco será incluso peor, ya que podrá perder no solo el volumen de sus operaciones, sino también sus depósitos, sus credenciales, el control del sistema informático o incluso información confidencial de la propia entidad.

Cómo evitar estos ciberataques_

Para evitar los ciberataques de malware sin fichero y sus consecuencias hemos creado Cytomic Orion, nuestra solución de threat hunting e incident response. Cytomic Orion responde ante ataques living-off-the-land mediante el servicio gestionado Zero-Trust App Service. Con este servicio, prevalece un enfoque de nula confianza en las aplicaciones que intentan ejecutarse en los endpoints, las paraliza y deniega por completo su ejecución hasta que sean debidamente validadas. De esta manera, un malware sin fichero como es el caso de Duqu 2.0 puede ser detectado y neutralizado.

Y es que en una época en la que los ciberataques ya no solo tienen por qué proceder de un documento infectado adjunto en un email y otras amenazas tan tradicionales como extendidas, la única forma de asegurar una protección total del sistema pasa por analizar su funcionamiento interno, parametrizar los posibles comportamientos peligrosos y eliminar cualquier tipo de amenaza con la suficiente antelación.