¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Lista de precios

Ценник

Otras ediciones de este tema (15)
  • añadir a favoritos
    Añadir a marcadores

Un antivirus «como formalidad»

Consultas: 1546 Comentarios: 2 Ranking: 9

jueves 27 de julio de 2017

Los lectores habituales de las ediciones del proyecto «El mundo de antivirus» por supuesto ya habrán notado que los consejos básicos que ofrecemos para proporcionar la protección contra programas nocivos no son muy difíciles:

  • Actualizar el antiirus;
  • No trabajar con permisos avanzados;
  • Instalar las actualizaciones de seguridad;
  • No hacer clics sobre todos los enlaces posibles;
  • Crear las copias de seguridad de los datos importantes.

No hay ningún secreto, todo es obvio y lógico. Entonces ¿por qué hay tantas noticias en los medios de comunicación, sobre hackeos y filtraciones? Una de las dos cosas: nuestros consejos no funcionan porque los hackers los esquivan fácilmente, o no proporcionan seguridad, y hay que pagar por un alto nivel de seguridad.

También hay una opción de esquivar la protección con un insider:

La infección inicial se produjo porque el antivirus en la estación de trabajo del empleado que inició el software de virus desde un mensaje phishing que contiene documents.exe estaba desactivado o usaba las bases de virus obsoletas.

Cabe destacar que el software antivirus detectaba tanto los adjuntos nocivos iniciales como la actividad de los malintencionados una vez comprometido — mucho antes de robar el dinero. Entre otras cosas, se detectaba la actividad sospechosa del software legítimo Ammyy Admin. En algunos casos el antivirus permitió prevenir la infección.

https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf

documents.exe ¿A quién se le puede ocurrir la idea de iniciar estos archivos?!

Así mismo, este software nocivo ya era conocido para el antivirus hace mucho. ¡Pero el antivirus estaba desactivado! Y allí donde estaba activado – simplemente activado, ya no hablamos sobre la detección con varios analizadores de comportamiento, – no hubo infección.

Pero luego sigue lo más interesante:

Una investigación demostró que varios empleados iniciaban archivos de mensajes de phishing varias veces.

Es decir, ¡en el banco no había ninguna restricción de inicio y funcionamiento del software prohibido!

Para buscar y descargar varias utilidades (por ejemplo, Mimikatz), los malintencionados usaban los recursos legítimos, en particular, los sistemas de búsqueda más usados, directamente desde los nodos comprometidos.

Los equipos del personal no estaban aislados de Internet, además el banco picó al anzuelo de los malintencionados que directamente durante el ataque, desde los equipos infectados buscaban las utilidades necesarias para continuar el sabotaje. Los hackers que trabajan solo con la línea de comandos sin echar un vistazo a la pantalla que no leen, sino solo escuchan las respuestas… No es de extrañar que la protección no haya resistido ante ellos.

Los factores clave que proporcionaban el desarrollo veloz del vector de ataque a otros recursos de Intranet eran la falta de segmentación de la red y los privilegios avanzados de la cuenta (el usuario atacado era administrador local en todas las estaciones de trabajo de la red local). Es lo que permitió a loa malintencionados desarrollar el ataque fácilmente, porque no han tenido que usar los exploits avanzados para mejorar sus privilegios, así como buscar las vías de penetración en el segmento de administración. Para cargar archivos se usaba un servicio público de intercambio de archivos sendspace.com.

El análisis de registros del sistema de protección confirmó los desplazamientos en la red desde los equipos comprometidos, así mismo, se confirmaron las conexiones a cajeros automáticos usando RAdmin. En la infraestructura del banco atacado este software se usa activamente por los administradores para la administración remota de cajeros automáticos, entre otras cosas.

La red del cajero automático no estaba separada de la red local básica y, por lo visto, de Internet tampoco, y los expertos en seguridad informática ni siquiera han notado que los desconocidos intentaban acceder al banco.

A propósito, en caso de usar Dr.Web, el inicio de RAdmin (o de otro medio de administración remota) provoca la aparición de una notificación sobre el inicio de un programa potencialmente peligroso.

Resumen:

  • Han sido comprometidas las estaciones de trabajo de empleados clave, los servidores de importancia crítica, así como el servidor de terminales y el controlador del dominio. Además, los malintencionados obtuvieron las contraseñas de casi todos los usuarios de la empresa, incluidas las cuentas de administradores, lo que les permitió desplazarse por la red sin ningún problema.
  • En una sola noche de 6 cajeros automáticos ha sido robado el dinero equivalente a 2 213 056 rublos rusos en moneda local.
  • Para obtener dinero en metálico en los cajeros automáticos, se usaban testaferros (drops). Uno de estos drops, ciudadano de Moldavia, fue sorprendido en flagrante delito por los cuerpos de seguridad al sacar dinero del cajero automático.
#antivirus #seguridad #hackeo #ciberdelito

El mundo de antivirus recomienda

Muchos están tan seguros de sí mismos que creen que no es necesario usar el antivirus, o lo desactivan periódicamente bajo el pretexto de que así el sistema funcionará más rápidamente, así mismo, siguen trabajando con permisos de administrador. Tarde o temprano pagan por eso.

El problema no son malos consejos – la culpa la tienen los que piensan que un antivirus es una formalidad.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios