Expertos de Kaspersky Lab y la Comunidad de Estados Independientes (CIS por sus siglas en inglés) detectaron el software de prueba de penetración Meterpreter, el cual se utiliza con fines maliciosos dentro la memoria de sus servidores que combinado con una secuencia de comandos de PowerShell legítimos y otras herramientas lograban recopilar las contraseñas de los administradores del sistema de manera invisible e indetectable.
El objetivo es que los ciberatacantes podrían controlar los sistemas de sus víctimas en vía remota y conseguir el acceso a sus procesos financieros.
La tendencia de esa modalidad de ataques registrada es a gran escala, ya que afectan a más de 140 redes en una gama de sectores empresariales con un saldo de 40 afectaciones principalmente en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia.
Pese a lo anterior, se desconoce el autor de estos ataques debido a que se utiliza el código de explotación de fuente abierta, herramientas comunes de Windows y dominios desconocidos imposibilitan ubicar la persona o grupo responsable.
En ese sentido, el proceso de la respuesta a incidentes es que el investigador siga las huellas y muestras dejadas en la red por los atacantes; aunque los datos en un disco duro pueden permanecer disponibles durante un año después de un suceso, los artefactos que se ocultan en la memoria se borrarán después del primer reinicio del equipo.
El Investigador Principal de Seguridad en Kaspersky Lab, Sergey Golovanov, explicó que "la determinación que muestran los atacantes por ocultar su actividad y hacer cada vez más difícil la detección y respuesta a los incidentes, explica la última tendencia en las técnicas antiforenses y del malware basado en la memoria. Es por eso que la investigación forense de la memoria se está convirtiendo en algo esencial para el análisis del malware y sus funciones. En estos incidentes particulares, los atacantes utilizaron todas las técnicas antiforenses concebibles; demostrando así, que no son necesarios los archivos de malware para la exfiltración exitosa de los datos de una red y cómo el uso de herramientas legítimas y de código abierto hace casi imposible atribuir los ataques”,
Los atacantes siguen activos y la detección estos es posible solo en RAM, la red y el registro.