Nuestros expertos han descubierto que los cibercriminales se están centrando en las pymes y que les están prestando especial atención a los contables. Esta elección es bastante lógica, ya que buscan acceso directo a la parte financiera. La manifestación más reciente de esta tendencia es el aumento de la actividad de troyanos, sobre todo Buhtrap o RTM que, aunque tienen diferentes funciones y formas de expansión, cuentan con el mismo propósito: robar dinero a cuentas de empresas.
Ambas amenazas son un peligro para las compañías informáticas, las que ofrecen servicios legales y las de producción a menor escala. La explicación podría ser el bajo presupuesto que invierten en seguridad en comparación con las grandes empresas del sector financiero.
RTM
Normalmente, RTM infecta a las víctimas mediante correos phishing que imitan correspondencia típica empresarial (incluyendo frases como “solicitud de devolución”, “copias de los documentos del último mes” o “solicitud de pago”). La infección se produce inmediatamente después de clicar en el enlace o abrir un archivo adjunto, tras la cual los operadores consiguen acceso total al sistema infectado.
En el 2017, nuestros sistemas registraron 2376 ataques por parte de RTM, frente a los 130000 del 2018. Y, habiendo transcurrido menos de dos meses de este 2019, ya han sido más de 30000 usuarios los que se han enfrentado a este troyano. Por ahora, podemos afirmar que RTM es uno de los troyanos financieros más activos, por lo que, si la tendencia continúa, superará el récord del año pasado.
El escenario principal de RTM es Rusia, sin embargo, nuestros expertos creen que pronto cruzará fronteras y atacará a usuarios de otros países.
Buhtrap
El primer encuentro con Buhtrap se registró en el 2014. Por aquella época, era el nombre de un grupo de ciberdelincuentes que robaba dinero de establecimientos financieros en Rusia por valor de, al menos, 150000 dólares por golpe. Después de que se hicieran públicos los códigos fuente de sus herramientas en el 2016, el nombre de Buhtrap se utilizó para el troyano financiero.
Buhtrap resurgió a principios del 2017 en la campaña TwoBee, donde se utilizó principalmente como medio de entrega de malware. En marzo del año pasado, saltó a las noticias (literalmente) difundiéndose a través de varios medios de comunicación importantes en cuyas páginas principales se implantaron scripts maliciosos. Estos scripts ejecutaron un exploit para Internet Explorer en los navegadores de los visitantes.
Un par de meses después, en julio, los cibercriminales redujeron su audiencia y se concentraron en un grupo de usuarios en particular: los contables que trabajan en pequeñas y medianas empresas y, por ello, crearon sitios web con información relevante para este sector.
Recordamos este malware debido a esta nueva tendencia, que comenzó a finales del 2018 y que continúa hoy en día. En total, nuestros sistemas de protección evitaron más de 5000 intentos de ataques Buhtrap, 250 de ellos desde principios del 2019.
Al igual que la última vez, Buhtrap se está propagando a través de exploits incrustados en medios de noticias. Como es habitual, los usuarios de Internet Explorer se encuentran en el grupo de riesgo. Internet Explorer utiliza un protocolo cifrado para descargar malware de los sitios infectados y eso dificulta el análisis y permite que el malware evite el aviso de algunas soluciones de seguridad. Y sí, todavía utiliza una vulnerabilidad que se reveló en el 2018.
Como resultado de infección, tanto Buhtrap como RTM proporcionan acceso completo a las estaciones de trabajo comprometidas. Esto permite a los cibercriminales modificar los archivos utilizados para intercambiar datos entre los sistemas de contabilidad y banca. Estos archivos tienen nombres predeterminados y no cuentan con medidas de protección adicionales, por lo que los atacantes pueden cambiarlos como les plazca. Estimar los daños es todo un desafío, pero como hemos descubierto, los criminales están desviando fondos en transacciones que no exceden los 15000 dólares.
¿Qué puedes hacer?
Para proteger tu negocio de tales amenazas, te recomendamos que prestes atención especial a la protección de los ordenadores que tengan acceso a sistemas financieros, como los del departamento de contabilidad y administración. Aunque, evidentemente, el resto de los equipos también necesitan protección. He aquí unos cuantos consejos prácticos:
- Instala parches y actualizaciones de seguridad para todo el software tan pronto como sea posible.
- Prohíbe, en la medida de lo posible, el uso de herramientas de administración en remoto en los ordenadores del equipo de contabilidad.
- Prohíbe la instalación de programas sin aprobación.
- Mejora la concienciación de la seguridad general de los empleados que trabajan con la economía de la empresa y céntrate en las prácticas antiphishing.
- Instala una solución de seguridad proactiva con tecnologías de análisis de comportamiento activo como Kaspersky Endpoint Security for Business.