¡Vd. usa un navegador obsoleto!
Es posible que la página no se visualice correctamente.
Un ejemplo de peritaje de un incidente informático vinculado a virus por los expertos de la empresa Doctor Web
En primavera del año 2019 un cliente corporativo contactó con el servicio de soporte técnico de Doctor Web sobre problemas de funcionamiento del servidor. La carga a las potencias de computación era muy alta y no se sabía de dónde provenía la misma. Dr.Web estaba instalado en este servidor.
Como no era un caso típico, y nuestros expertos sospecharon que fuera algún software malicioso (aunque no hubo detecciones de ningún ataque de Dr.Web), los expertos de la empresa Doctor Web decidieron investigar el caso.
Los expertos tenía varias tareas.
Para el peritaje, fue realizado un análisis de logs del antivirus Dr.Web. Esto permitió detectar la primera pista y detectar la aplicación que consumía los recursos del servidor de forma oculta, así como el modo de penetración del malintencionado en el sistema. Era claro que la actividad maliciosa estaba vinculada al funcionamiento de un programa de un desarrollador ruso conocido, usado por el cliente.
Los expertos contactaron al desarrollador de este programa. Gracias a la comunicación con el mismo, no solamente fue detectado el modo del ataque, sino también fue localizado el malintencionado que lo hbía organizado. Resultó ser un empleado de la empresa desarrolladora.
Los datos recibidos durante el peritaje permitieron recuperar completamente lo sucedido.
La infección empezó con una vulnerabilidad RCE en un producto legal. A través de un exploit en la parte del cliente víctima se creaba una cuenta administrativa para acceder a través de RDP. Luego el malintencionado entraba de forma manual al servidor RDP y, usando el software legal ProcessHacker, «mataba» el antivirus instalado o simplemente lo desactivaba directamente a través de GUI — si el antivirus no estaba protegido con la contraseña. De esta forma, la protección antivirus no era eficaz porque una persona con permisos de administrador la desactivaba.
Al tener acceso en el sistema, el malintencionado cargaba un troyano miner al servidor y lo iniciaba. El proceso de mining generaba la carga de las potencias de computación del servidor. En la última versión del troyano detectada todas las acciones para desactivar los antivirus estaban automatizadas.
La información sobre la vulnerabilidad fue transferida por los expertos de Doctor Web al desarrollador del software para que el mismo pudiera corregirla de forma oportuna. El desarrollador entregó a los expertos el disco duro del equipo de trabajo del informático sospechoso para la investigación. Como resultado del análisis de este dispositivo y los honeypots usados por Doctor Web fueron detectados varios expolits más. Al mismo tiempo en el disco fueron detectados varios tipos de programas maliciosos anteriormente desconocidos para Dr.Web y una lista de víctimas atacadas de la misma forma. Entre las víctimas, hubo usuarios de varios productos antivirus. Una vez analizados los códigos fuente recibidos del nuevo software malicioso, la base de virus de Dr.Web se completó con nuevas entradas.
Gracias al peritaje del Doctor Web, el malintencionado fue detectado, acusado y despedido. La información sobre el mismo fue transferida a los cuerpos de seguridad. Pero, una vez despedido, el mismo cambió de domicilio y desapareció.
El cliente recibió recomendaciones sobre la configuración del antivirus Dr.Web que permitirán evitar otra infección. Cabe destacar que si esta configuración hubiera sido establecido al principio, nuestro clienta no habría sido víctima porque el malintencionado no sería capaz de desactivar Dr.Web en su servidor.
Las recomendaciones de nuestros expertos eran las siguientes:
El desarrollador del software donde fue detectada la vulnerabilidad crítica tomo varios pasos importantes no solo para corregir el caso «aquí y ahora», sino para evitar los incidentes similares en el futuro.
El incidente fue resuelto bastante rápido y con pérdidas mínimas El cliente de la empresa Doctor Web resolvió el problema y estaba satisfecho con el trabajo de nuestros expertos, el desarrollador del software tomó todas las medidas necesarias para quitar las vulnerabilidades, y el hacker tuvo que tratar con la policía.
Pero cabe destacar que en este caso la víctima «ha tenido bastante suerte». El malintencionado, al tener acceso al sistema, instalaba allí un troyano minero que «solo» cargaba mucho los recursos del sistema, sin hacer más daño directo. Como se trataba de un software específico que normalmente está en el mismo servidor que, por ejemplo, las aplicaciones tipo 1C, la situación pudo desarrollarse de otro forma. Por ejemplo, si en vez del miner hubiera un troyano cifrador (lo cual planificaba el malintencionado), el daño habría sido mucho más importantes. El funcionamiento de los servidores atacados habría sido parado, y los archivos con datos de importancia crítica, cifrados, y, como suele pasar con mucha frecuencia, con bastante probabilidad, sin posibilidad de recuperarlos.
En caso de emergencia (desaparece el dinero o los datos, se filtran las contraseñas de los recursos corporativos, los equipos no funcionan de forma estable etc.) y Vd. supone que pueden ser las acciones de un software malicioso, pida un peritaje de IIV en la empresa Doctor Web. 28 años de experiencia en el ámbito antivirus y nuestros métodos exclusivos de detección de las amenazas más nuevas ayudarán a analizar lo sucedido, y el equipamiento especial que permite copiar la información según los procedimientos legales, asegurará los elementos probatorios definitivos en el juzgado.
