Hace unos meses publicamos un análisis técnico de Multigrain, un troyano de Terminales de Punto de Venta (TPV) que utiliza peticiones DNS de cara a exfiltrar la información robada. También escribimos sobre un caso en el que este malware de TPV fue utilizado para infectar cientos de restaurantes en Estados Unidos.
A finales de septiembre hemos visto de nuevo actividad en este frente, con nuevos ataques infectando TPVs con nuevas variantes de Multigrain. Sin embargo, al contrario que en el anterior ataque donde el objetivo era el mismo tipo de víctima en una región en concreto (restaurants en Estados Unidos), ahora parece que los ciberdelincuentes están tratando de encontrar nuevos nichos donde poder maximizar sus beneficios. Hemos detectado 2 oleadas de ataques cuyas víctimas eran empresas de diferentes países:
- Alemania
- Argentina
- Bélgica
- Brasil
- Chile
- Estados Unidos
- España
- Francia
- India
- Irlanda
- Noruega
- Reino Unido
- Suecia
- Tailandia
Las víctimas pertenecen a sectores diferentes, incluyendo los típicos restaurantes y hoteles, pero también otros no tan comunes en este tipo de ataques: Telecomunicaciones, Servicios IT, Aseguradoras, Servicios Médicos, Transporte, Asesorías, Sindicatos, Ingenierías y Suministradores de Maquinaria Industrial.
¿A qué se debe esta disparidad en los perfiles de las víctimas? Parece que no estaban buscando específicamente atacar a estos sectores. Todos los ataques se han llevado a cabo a través de Terminal Server, de forma parecida a la que hemos visto en otros casos, utilizando ataques de fuerza bruta hasta que pueden ganar acceso a los ordenadores e infectarlos con Multigrain. Se trata de ataques automatizados, donde los ciberdelincuentes primero se dedican a escanear Internet en busca de potenciales víctimas y una vez localizadas lanzan el ataque hasta que consiguen entrar.
Consejos para evitar ataques en empresas
De cara a minimizar los riegos, las empresas deben recordar que siempre que sea posible este tipo de servicios no deben tener acceso a Internet. En caso de que sea imprescindible tenerlos conectados debemos asegurarnos de utilizar credenciales Fuertes (con una contraseña lo suficientemente compleja básicamente puedes impedir que entren utilizando ataques de fuerza bruta), utilizar doble factor de autenticación siempre que sea posible, no utilizar puertos estándar para este tipo de conexiones y, por supuesto, monitorizar todas las conexiones provenientes del exterior.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
