Un nuevo 'malware' invisible ataca a bancos de todo el mundo (y también a los españoles)

Un criminal invisible. Así se podría definir a Duqu 2.0, una supuesta variable del 'malware' Stuxnet, y que ha infectado los ordenadores de 140 bancos, organizaciones gubernamentales y compañías de telecomunicaciones de todo el planeta, incluidas algunas entidades españolas. Lo hace con un método descubierto hace tan solo un par de años: en lugar de almacenarse en un fichero lo hace en la memoria del ordenador. De esta manera, puede pasar desapercibido durante largas temporadas, tal y como ha informado Kaspersky en una entrada en su blog.

TE PUEDE INTERESAR

Por qué las nuevas tarjetas 'contactless' no son tan seguras como crees

Mercè Molist

Eso es lo que está sucediendo en las últimas semanas tal y como informa Ars Technica, que pone el ejemplo de más de un centenar de bancos en todo el planeta entre los afectados. Debido a la dificultad de localizar el virus, se cree probable que muchas otras entidades estén infectadas y que todavía no se hayan percatado de ello ya que el robo se produce mediante una retirada de efectivo desde los cajeros de los bancos infectados.

"En la última década se habían popularizado los ataques persistentes, también llamados APT, que dejaban copias de sí mismos y se activaban meses después. Las herramientas para limpiarlos han mejorado y la evolución lógica ha sido la de un virus que no deja rastro en la memoria", ilustra Carlos Tomás, CTO de Enigmedia, firma especializada en seguridad informática.

Estados Unidos, Francia, Ecuador, Kenya y el Reino Unido están entre los países más afectados aunque España también aparece en esa lista junto a Turquía, Túnez o Egipto. El primer banco que descubrió la vulnerabilidad en sus archivos lo hizo a finales de 2016 mediante el uso de Meterpreter, Mimikatz y Powershell para hacerse con información sensible. Mediante la recolección de credenciales y contraseñas de los administradores de sistemas, los ciberdelincuentes han administrado, de manera remota, los servidores afectados.

"La política habitual de un administrador de sistemas es maximizar el tiempo de encendido de un servicio ya que se considera que es una buena política de uso", señala Tomás. Siguiendo esa lógica, infectar un equipo que no se apaga casi nunca permite un acceso casi ilimitado al mismo, "como si tuviera una infección permanente".

La complejidad de este ataque reside en lo sencillo que resulta para el delincuente moverse por el sistema con los privilegios que disfruta cualquier empleado. Los piratas informáticos no necesitan "un ataque más elaborado", explica Tomás, sino que basta con una infección temporal del servidor de dominio para generar usuarios válidos que permiten pasar a la ofensiva desde dentro del sistema y sin que este detecte movimientos extraños.

Engaño entre bancos

Más allá de la información publicada en medios, Tomás detalla cómo se producía la sustracción de dinero: "Habían creado una entidad bancaria ficticia y falseaban retiradas de dinero a ese banco, ya que se prestan dinero constantemente entre ellos por la operatividad de los cajeros". Los robos se hacían en cantidades pequeñas, para que no saltara la voz de alarma, y las retiradas se hacían desde los cajeros automáticos.

El grupo identificado y cazado hasta la fecha cometió el error de programar retiradas de efectivo en cajeros donde no había nadie para recoger el dinero, lo que motivó una investigación del banco que descubrió el motivo detrás de esas operaciones sospechosas.

El 'malware' es prácticamente imposible de detectar si el ordenador en el que está instalado se reinicia o reescribe la memoria RAM con otro proceso

Tomás señala que el ataque es muy difícil de rastrear debido a la naturaleza del 'malware'. Al vivir dentro de la memoria RAM, basta un reseteo del ordenador o la ejecución de un programa que necesite de esa memoria para que el equipo borre todo rastro. Una vez eliminado, si los atacantes han conseguido crear cuentas de usuario con todos los permisos necesarios para operar desde dentro, el daño es considerable. "No es lo mismo que si te llega un virus escondido en un pdf, ya que ahí tienes un vector de ataque", argumenta Tomás.

Descubierto hace dos años

Un grupo de investigadores de Kaspersky descubrió este 'malware' hace dos años cuando se dieron cuenta de que podía pasar hasta medio año sin ser detectado. Stuxnet, el virus supuestamente desarrollado por Estados Unidos e Isarel pra sabotear las ambiciones nucleares de Irán, ha servido de patrón para la aparición de Duqu 2.0. Las ambiciones de los creadores de este 'malware' son diferentes y apuntan al sistema financiero mundial.

Según los investigadores de Kaspersky, el patrón en estos ataques siempre es similar. PowerShell es la herramienta que se coloca en el registro de la memoria para bajar Powermeter y ejecutar, desde ahí, acciones como si se estuviera haciendo desde una aplicación nativa de Windows.

Tal y como señala Kaspersky, estas técnicas "son cada vez más comunes", y señala a "objetivos relevantes" dentro del sector bancario. El problema, en palabras del experto en seguridad, es la "complicada detección" de este 'malware' mediante el uso de las herramientas tradicionales.