Historias reales: Literalmente, nos secuestraron los ordenadores.

Publicado el 15/09/2014, por María Ramírez
Historias reales: Literalmente, nos secuestraron los ordenadores.

Alonso Álvarez se sentía orgulloso. Desde hacía 10 meses, y aún teniendo en cuenta la situación económica del país, su empresa, dedicada a los préstamos online, había experimentado un crecimiento muy grande. Mucho trabajo, esfuerzo y dedicación para conseguir que pequeñas empresas, familias y personas que necesitaran dinero rápido, pudieran disponer del mismo, pero sin que tuviesen muchos intereses. Treinta empleados y cuarenta máquinas eran los recursos principales para lograr este éxito.

Tras un año de crecimiento continuado, Alonso decidió organizar un evento en la empresa. A esa celebración invitó a clientes, conocidos del sector y amigos personales de los empleados.

Durante el evento él dio una pequeña charla a los asistentes y luego hicieron una visita por las instalaciones de la empresa. En un CPD pequeño se instalaron 5 servidores con bases de datos de clientes, procesos de automatización de ingresos en cuentas y otras aplicaciones, muchas de ellas desarrolladas manualmente, que han conseguido, junto con el esfuerzo de los empleados, tiempo y dedicación, que la organización crezca, obtenga beneficios y destaque en el sector.

Tres días después del evento, a las 8 de la mañana, los empleados llegaron a sus puestos de trabajo y cuál fue su sorpresa al ver que los ordenadores no les dejaban arrancar aplicaciones de ningún tipo…es como si no respondieran a ninguna orden. Si hubiera pasado esto en un solo ordenador, podría ser considerado como un incidente aislado y podría ser debido a un fallo del sistema local; pero en este caso, el problema tenía lugar en todas las máquinas…Y lo que más les asustó es que también les ocurría en los servidores. Víctima del pánico, a las 10 de la mañana de ese mismo día, Alonso contactó con una empresa de seguridad informática para pedirles ayuda. Dos técnicos de dicha empresa de seguridad se desplazaron a las oficinas de Alonso. Ejecutaron un análisis de seguridad en la red, pero no descubrieron ningún malware. Estaban todos sorprendidos y nerviosos por no saber qué estaba pasando en sus sistemas.

Alonso pensó en formatear los ordenadores, pero si hubiera hecho esto, habría perdido todos los ficheros, bases de datos, e información importante…No tenían backup de mucha de esta información…

Finalmente, la empresa de seguridad contactó con un fabricante de soluciones avanzadas de seguridad, quienes les propusieron ejecutar una herramienta de detección de amenazas persistentes avanzadas. Dicha herramienta era capaz de analizar comportamientos sospechosos y llegar más allá que una solución antimalware tradicional. Y ¡voilá!, se consiguió detectar un proceso que corría en todas las máquinas, que conseguía congelar las sesiones de los usuarios y mandar el control de las máquinas a un servidor remoto de Internet. Se trataba de un bot.

Imagen BOT

Una vez desinfectadas las máquinas, se analizaron posibles daños. Afortunadamente, sólo dio tiempo a que el atacante accediera a tres cuentas bancarias de clientes, pero sin poder hacer extracciones de dinero, sólo consultas.

A partir de ese día Alonso se dejó asesorar por el fabricante de seguridad, incorporando en su red soluciones avanzadas para proteger sus sistemas y en definitiva, su empresa. Alonso quiso contarnos su historia, aunque nos pidió que enmascaráramos el nombre de su empresa y el suyo propio.

Aún así, hizo hincapié en que quería que esto fuera una lección para todas las empresas: la protección de las redes es crucial para que un negocio pueda seguir avanzando y no se vaya a pique.

Ahora, su empresa cuenta con sistemas de control de dispositivos extraíbles, prevención de fuga de información, soluciones antimalware actualizadas en tiempo real, una herramienta de clasificación e identificación de amenazas persistentes avanzadas, un potente sistema de auditoría para detectar acciones y cambios que se efectúan en la red, y un sistema de backup para que automáticamente se generen copias de las configuraciones y ficheros de sus sistemas.

Final feliz para lo que podría haber sido un desastre en toda regla.

¿Qué es lo que realmente pasó?

El momento en el que se inició la infección en las máquinas de la empresa, fue el día del evento de celebración de éxito. Durante el recorrido de visita por la empresa, en el CPD, en uno de los servidores, alguien inyectó un disco USB. Dicho USB tenía el proceso bot desencadenante de la infección. Este bot se replicó por las máquinas de la red de Alonso y contactó con el C&C (centro de comando y control del bot), que es en realidad, el servidor o servidores que controlan las acciones que se quieren hacer en los ordenadores víctima. Una vez que un ordenador afectado con un bot, contacta con su C&C, el resto de acciones maliciosas que se quieran ejecutar, suelen ser bastante sencillas para el hacker que lo controla.

¿Por qué no se descubrió antes?

Cuando la herramienta de clasificación e identificación de APTs se instaló en las máquinas, ya había pasado mucho tiempo (más de tres días), con lo que la infección ya se había propagado por todas las máquinas. Ahora ya sólo faltaba ver el daño que había ocasionado el ataque, pero no había forma de prevenir nada.

Si en la empresa de Alonso se hubiera contado con un control de conexión de dispositivos extraíbles, podría haberse detectado la inyección del disco USB en el servidor y a partir de ahí, podría haberse bloqueado esa conexión.

¿Qué hacer si nos sucede esto?

Igual que hizo Alonso, contactar con una organización experta en seguridad informática. Aunque esta es una medida reactiva.

Lo ideal es ser precavidos y prevenir frente a reaccionar. Por eso, dada la naturaleza del malware, la sofisticación de los ataques y el alcance que puede llegar a tener una infección de este estilo, lo necesario a día de hoy es instalar en nuestra red una solución que prevenga frente a Amenazas Persistentes Avanzadas y Ataques dirigidos como este. Muchos fabricantes de seguridad ya tenemos experiencia en esto y dedicamos un equipo de expertos a estar en continuo aprendizaje y detección de este tipo de amenazas.

En resumen, ¿Qué hacer para que no nos suceda?

Cada empresa tiene su negocio, son expertos en su área y no podemos pretender que todas las personas sepan hacer de todo en todos los ámbitos. Por eso, a la hora de proteger adecuadamente una red, lo mejor es dejarse aconsejar por expertos, e incluso, delegar la gestión de la seguridad en manos de una compañía con experiencia en este ámbito. Estos profesionales llevarán a cabo una auditoría de la red cliente y determinarán, en función de muchos parámetros, qué soluciones de seguridad son necesarias para evitar cualquier tipo de infección o ataque. Pero además, la seguridad no es estática; sino que está viva, y es necesario que se mantenga el nivel de protección en la red. Para ello, es bueno hacer consultorías periódicas para saber el estado de seguridad en el que nos encontramos y así continuar previniendo situaciones de pánico como esta.

---

María Ramírez - Ingeniero Preventa Panda Security | @PandaComunica / http://www.pandasecurity.com