Informe: Los ciberatacantes utilizan túneles ocultos para espiar y robar a empresas de servicios financieros.

Vectra ha anunciado hoy que muchas organizaciones financieras globales son blanco de sofisticados ciberataques con el objetivo de robar datos críticos e información de identificación personal (PII).

Como parte de las conclusiones clave del nuevo informe Spotlight Report sobre servicios financieros de 2018, Vectra reveló que los ciberatacantes crean túneles ocultos para irrumpir en las redes y robar datos críticos e información personal. Estos túneles se utilizan para controlar de forma remota un ataque, lo que se conoce como comando y control, y robar datos, lo que se conoce como exfiltración, sin ser detectados en su mayor parte.

«Los ciberatacantes siguen innovando mediante el uso de túneles ocultos para mezclarse con el tráfico normal, evadir los controles de acceso estrictos y filtrar datos financieros», afirmó Jon Oltsik, analista principal sénior de Enterprise Strategy Group. «El informe de Vectra ofrece información sobre el comportamiento de estos atacantes y detalla lo que los ciberdelincuentes están dispuestos a hacer para robar información financiera personal y privada».

Según el informe de Vectra, las brechas de seguridad en múltiples sectores siguen aumentando, y el sector de los servicios financieros no es una excepción. Pero, aunque las empresas de servicios financieros no han sufrido el mismo volumen de brechas que otros sectores, siguen enfrentándose a un riesgo considerable, ya que son objetivos lucrativos para los ciberatacantes que buscan obtener ganancias fáciles.

Vectra detectó el mismo tipo de comportamientos de los atacantes en todo el sector de los servicios financieros que los que provocaron la filtración de datos de Equifax en 2017. La filtración de Equifax provocó el robo de números de carné de conducir, direcciones de correo electrónico, números de la Seguridad Social y otra información personal de 145,6 millones de consumidores, según un informe de la empresa presentado ante la Comisión de Bolsa y Valores. Según se informa, tras producirse la filtración, esta pasó desapercibida durante 78 días.

La información del informe Spotlight Report de 2018 de Vectra se basa en observaciones y datos del informe Attacker Behavior Industry Report, edición RSA Conference 2018. El informe revela los comportamientos y tendencias de los atacantes en las redes de 246 clientes voluntarios del sector de los servicios financieros y otros 13 sectores.

Desde agosto de 2017 hasta enero de 2018, la plataforma Cognito de detección de ciberataques y búsqueda de amenazas de Vectra supervisó el tráfico de red y recopiló metadatos de más de 4,5 millones de dispositivos y cargas de trabajo de entornos cloud, centros de datos y empresas de clientes. El análisis de estos metadatos proporciona una mejor comprensión de los comportamientos y tendencias de los atacantes, así como de los riesgos empresariales, lo que permite a los clientes de Vectra evitar violaciones de datos catastróficas.

«Cada sector tiene un perfil de red y comportamientos de usuario que se relacionan con modelos de negocio, aplicaciones y usuarios específicos», afirma Chris Morales, director de análisis de seguridad de Vectra. «Los atacantes imitarán y se mimetizarán con estos comportamientos, lo que dificultará su detección».

«Lo que más destaca es la presencia de túneles ocultos, que los atacantes utilizan para eludir los estrictos controles de acceso, los cortafuegos y los sistemas de detección de intrusiones», añadió Morales. «Esos mismos túneles ocultos permiten a los atacantes salir de las redes sin ser detectados, con los datos robados».

Las principales conclusiones del informe son las siguientes:

• Vectra detectó un número significativamente mayor de túneles ocultos de comando y control por cada 10 000 dispositivos en los servicios financieros que en todas las demás industrias juntas.
• Vectra detectó más del doble de túneles ocultos de exfiltración de datos por cada 10 000 dispositivos en los servicios financieros que en todos los demás sectores juntos.
• Por cada 10 000 dispositivos en todos los sectores, se detectaron 11 túneles de exfiltración ocultos camuflados como tráfico web cifrado. Sin embargo, en los servicios financieros, esa cifra se duplicó con creces hasta alcanzar los 23. Entre agosto de 2017 y enero de 2018, los túneles de exfiltración ocultos camuflados como tráfico web sin cifrar pasaron de siete por cada 10 000 dispositivos a 16 en los servicios financieros.
• Por cada 10 000 dispositivos en todos los sectores, se detectaron dos túneles ocultos camuflados como tráfico web cifrado. Sin embargo, en los servicios financieros, esa cifra se duplicó con creces hasta alcanzar los cinco. Entre agosto de 2017 y enero de 2018, los túneles de exfiltración ocultos camuflados como tráfico web sin cifrar se duplicaron, pasando de dos por cada 10 000 dispositivos a cuatro en los servicios financieros.

Cognito Detect y su homólogo de IA igualmente potente, Cognito Recall, son los pilares de la plataforma Cognito. Cognito Detect automatiza la detección en tiempo real de atacantes ocultos en cargas de trabajo cloud centros de datos, así como en dispositivos de usuarios y del Internet de las cosas, al tiempo que proporciona a Cognito Recall punto de partida lógico para llevar a cabo la búsqueda de amenazas asistida por IA y realizar investigaciones concluyentes de incidentes.

Los datos del informe destacado se basan en metadatos anónimos de clientes de Vectra que han optado por compartir métricas de detección. La plataforma Cognito identifica comportamientos que indican ataques en curso mediante la supervisión directa de todo el tráfico y los registros relevantes, incluido el tráfico hacia y desde Internet, el tráfico interno entre dispositivos de red y las cargas de trabajo virtualizadas en centros de datos privados y nubes públicas. Este análisis proporciona una visibilidad importante de las fases avanzadas de los ataques.