Programa DarkVishnya usa método similar de ataques en América Latina
Los analistas de la firma de ciberseguridad Kaspersky Lab dieron a conocer el método que emplearon los ciberdelincuentes responsables de los ataques realizados con el malware denominado DarkVishnya.
En el estudio se reveló que este modus operandi es similar al empleado con las infecciones por medio del programa Prilex, el cual ya se había detectado en varios ataques registrados en América Latina.
Para obtener acceso a la red corporativa bancaria, los cibercriminales que atacaron al menos ocho instituciones en Europa usaron tres tipos de dispositivos que les permitieron acceder de manera remota.
Se trata de una laptop, una Raspberry Pi, que es una computadora del tamaño de una tarjeta de crédito, y una Bash Bunny, una herramienta que permite hacer ataques mediante USB, de acuerdo con el informe de Kaspersky sobre este malware (programa malicioso).
Los dispositivos empleados estaban equipados con General Packet Radio Service (GPRS) y módem 3G o LTE, lo que permitió a los criminales tener acceso vía remota a la red de las organizaciones atacadas.
Los analistas detectaron que el modus operandi de los criminales que usaron DarkVishnya es similar al que ya habían empezado a emplear los criminales que atacaron desde 2014 en Brasil, el cual recibió la denominación de Prilex.
De acuerdo con un informe de la firma de ciberseguridad, el malware que afectó a los cajeros automáticos, ubicados principalmente en Brasil, se realizó mediante un dispositivo de caja negra configurado con un módem USB 4G para controlar remotamente a la máquina.
Prilex llegó a México y la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) lanzó una alerta en septiembre de 2018, para que los usuarios fueran precavidos al momento de responder a mensajes que simulaban llegar de instituciones financieras, además de señalar que algunas terminales y puntos de venta podrían estar infectados con malware.
“La Condusef hace un llamado a todos aquellos comercios que utilicen terminales punto de venta a estar alerta ante este tipo de llamadas de servicio de mantenimiento o de actualización que son fraudulentas, que sólo buscan clonar los datos de las tarjetas originales para obtener un beneficio económico posterior al utilizar los datos extraídos de las mismas para realizar compras”.
Si bien el malware que atacó en América Latina desde 2014 tiene un modus operandi que se parece al empleado por los cibercriminales con DarkVishnya, eso no significa que los usuarios de servicios bancarios y las instituciones en Latinoamérica estén protegidos en torno a este tipo de ataques que ya generaron millones de pérdidas en Europa del Este, pues los ciberataques evolucionan.
“Los ataques de blackbox se han vuelto cada vez más comunes contra grandes y medianas empresas, explotando fallas en la seguridad física y puntos de redes expuestos que permiten realizar un ataque que compromete el entorno digital de la empresa al puro estilo de ‘Mr. Robot’. Su detección es difícil, mas no imposible”, señaló el analista senior de seguridad de Kaspersky Lab en América Latina, Fabio Assolini.
Para evitar infecciones con malware que ataca de manera remota, tales como Prilex o DarkVishnya, la Conduser recomendó a quienes tienen terminales bancarias verificar con la institución financiera las condiciones de uso de las terminales punto de venta y contactar directamente con estas instituciones antes de permitir cualquier actualización en las terminales.
NTX/RAM/MAG
