Cuando este lunes los espectadores estaban asombrados con la ceremonia de inauguración de los Juegos Olímpicos de Invierno 2018, celebrada en Pyeongchang, el comité organizador del evento estaba lidiando con un ciberataque.

Es un hecho que el descenso en la creación de muestras de nuevo malware y la profesionalización de los ataques en la red marcan las pautas en ciberseguridad. En este caso hablamos de un ataque dirigido, calificado incluso de acto de sabotaje, con el que los hackers querían causar el caos durante la ceremonia de apertura y que afectó a algunos servicios de televisión e internet antes de la ceremonia. No obstante, no se consiguió robar información contenida en los servidores.

Los investigadores de seguridad informática de la división Talos de Cisco agregaron además que la finalidad del malware no era el robo de los host comprometidos, sino la destrucción.

GoldDragoN, ¿el último hackeo ruso?

Con el foco siempre puesto en conseguir un mayor beneficio, se incrementa el número de intromisiones cada vez más avanzadas y con nuevas tácticas, como los ataques malwareless (o sin malware) y el uso de herramientas no maliciosa.

Desde PandaLabs explican que al no utilizar malware, fácilmente detectable por las herramientas de ciberseguridad avanzada, los atacantes asumen la identidad del administrador tras haber conseguido sus credenciales a la red. Advierten de que las técnicas empleadas por los ciberdelincuentes para atacar sin utilizar malware pueden ser muy variadas, aprovechando todo tipo de herramientas no maliciosas que forman parte del día a día de los responsables de TI.

En este caso, el ataque sí utiliza malware (bautizado como GoldDragon), pero para llevar a cabo ciertas acciones hace uso de estas herramientas no maliciosas como el PsExec o el propio CMD. De esta manera, ejecuta procesos en otros equipos de la red sin levantar sospechas y sin utilizar una versión modificada por los atacantes, sino que se trata de la versión oficial.

Para llevar a cabo sus acciones destructivas, lanza comandos del sistema desde una ventana de comandos (cmd). Por ejemplo esta instrucción:

C:\Windows\system32\cmd.exe /c c:\Windows\system32\vssadmin.exe delete shadows /all /quiet

Aquí utiliza el vssadmin.exe para borrar las copias de seguridad creadas por el sistema operativo de forma silenciosa. Etc.

Todo parece indicar que el ataque vino desde Rusia. La inteligencia ucraniana y un informe de la CIA vinculó NotPetya y BadRabbit a la inteligencia rusa, y todo señala que GoldDragon (también llamado Destructor Olímpico) es una versión más refinada de BadRabbit.

Las herramientas del sistema, nuevo vector de ataque

En este contexto, monitorizar la ejecución de todos los procesos en los puestos y servidores de la empresa es fundamental para evitar sustos y garantizar la salud del parque informático.

Los antivirus tradicionales no son capaces de detectar este tipo de ataques, ni tampoco de desinfectar los equipos afectados por Amenazas Avanzadas. Sin embargo, Panda Adaptive Defense propone un nuevo modelo de seguridad basado en la supervisión, control y clasificación del comportamiento y la naturaleza de cada una de las aplicaciones ejecutadas para ofrecer una garantía de protección robusta y completa, permitiendo únicamente la ejecución de aplicaciones lícitas (goodware).

PandaLabs recomienda el uso de soluciones de ciberseguridad avanzada como Panda Adaptive Defense que además permitan incorporarse a la infraestructura existente del cliente coexistiendo con antivirus tradicionales e integrándose en la solución SIEM utilizada por la empresa, consiguiendo así un mayor nivel de protección.