Ataques 'invisibles' o cómo los cibercriminales lograron acceder a redes empresariales de 40 países, entre ellos España

Kaspersky Lab descubrió que el código se había combinado con un número de 'scripts' y otras utilidades y se había transformado en código malicioso que recopilar las contraseñas de los administradores de sistemas de forma invisible. De esa manera, los ciberatacantes podían controlar los sistemas de sus víctimas en remoto y conseguir su objetivo final: el acceso a los procesos financieros.

La compañía ha descubierto que los ataques eran masivos y que habían afectado a más de 140 redes empresariales, con la mayoría de las víctimas localizadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia. En total, las infecciones afectaron a empresas en más de cuarenta países, entre los que se encuentra España, aunque se desconoce quién puede estar detrás de los ataques.

El uso del código de explotación de fuente abierta, funcionalidades Windows habituales y dominios desconocidos, hace prácticamente imposible determinar el grupo responsable o si son varios los que comparten las mismas herramientas. Algunos grupos conocidos que utilizan una técnica similar son GCMAN y Carbanak.

"Esta tendencia que observamos en técnicas anti-forense y malware que se sitúan en la memoria responde al empeño de los ciberdelincuentes de ocultar su actividad y dificultar su detección. Por ello, el estudio forense de la memoria se está convirtiéndose en algo crítico para el análisis de malware", explica el analista principal de seguridad en Kaspersky Lab, Sergey Golovanov.

"En estos incidentes en concreto, se han utilizado todas las técnicas anti forense existentes. Es un ejemplo claro de que no se necesitan archivos de malware para lograr extraer datos de la red con éxito. El uso de utilidades open source y software legítimo hacen imposible localizar el origen", concluye.