Los ciberdelincuentes apuntan a las bases de datos de QuickBooks



Los archivos financieros robados luego se venden en la Dark World-wide-web, dicen los investigadores.

Los ciberdelincuentes se han dirigido cada vez más a los datos de los archivos de QuickBooks en pequeñas y medianas empresas (PYMES) durante los últimos meses, según una nueva investigación.

Las infracciones comienzan con dos tipos de ataques de phishing para obtener acceso a las bases de datos de QuickBooks, según los hallazgos de ThreatLocker. En el primero, los atacantes envían un comando de PowerShell que se ejecuta dentro del correo electrónico malicioso. En el segundo, los atacantes envían un documento de Word por correo electrónico si el destinatario abre el documento adjunto, una macro o un enlace dentro de ese documento descarga un archivo en su máquina. Una vez que se ejecuta el ejecutable o el comando de PowerShell, recupera la ubicación del archivo QuickBooks guardado más recientemente de la víctima, apunta al archivo compartido o al archivo community y toma ese archivo.

Danny Jenkins, cofundador y CEO de ThreatLocker, dice que los atacantes generalmente cargan los archivos robados en Google Cloud o Amazon World-wide-web Providers como un punto de transferencia temporal. A partir de ahí, venden los datos en la Dim Internet, donde otros ciberdelincuentes compran los datos para lanzar ataques más dirigidos a otras bases de datos de QuickBooks o a los clientes y proveedores de las organizaciones víctimas.

«Atacarán todos los ángulos posibles», agrega Jenkins. «Los ciberdelincuentes pueden comprar fácilmente estas bases de datos QuickBook en la Dim Net y lanzar ataques».

Mientras tanto, alrededor del 43% de las organizaciones de todos los tamaños dicen que han sido víctimas de un ataque de spear-phishing en los últimos 12 meses, según datos de Barracuda Networks, y solo el 23% dice que ha implementado protección dedicada contra el phishing.

«La mayoría de los correos electrónicos son facturas y currículums», explica Jenkins de ThreatLocker sobre los señuelos. «No tenemos cifras exactas, pero sabemos que millones de dólares en ciberdelitos son causados ​​por este tipo de ataques».

Los programas de contabilidad a menudo se escriben sin tener en cuenta la seguridad, señala Jenkins, y QuickBooks tiene una falla fundamental: cuando un administrador ejecuta una «reparación» en la foundation de datos de QuickBooks después de una falla del sistema, todos los permisos para compartir archivos se pueden restablecer, dejando el base de datos accesible para todos en la empresa. Esto significa que si los piratas informáticos ingresan al sistema después de una reparación, tienen acceso a todos los permisos, incluido el contador o el gerente comercial de la empresa.

«La gente se pregunta cómo los piratas informáticos tienen acceso a todas las cuentas de sus clientes, pero en realidad es bastante very simple: una vez que tienen acceso a la foundation de datos de QuickBooks, tienen acceso a todos sus clientes», dice Jenkins. «Lo que les estamos diciendo a las PYMES es que restrinjan los permisos por usuario y por aplicación. No hay ninguna razón para que Microsoft Workplace o PowerShell tengan acceso a QuickBooks».

ThreatLocker detalló su investigación en un Web site publicar hoy.

Dirk Schrader, vicepresidente worldwide de investigación de seguridad en New Internet Technologies, dice que los ataques de QuickBooks son notables por su simplicidad. Los atacantes solo usan unas pocas líneas de script de PowerShell y explotan las debilidades de diseño en una aplicación de software program QuickBooks que a menudo usan las empresas más pequeñas, muchas de las cuales carecen de la experiencia y el own para mantenerse al día con los problemas de ciberseguridad.

Schrader dice que las PYMES deben controlar si los scripts de PowerShell se pueden ejecutar con los derechos y permisos del usuario actual. Si bien eso puede ser abrumador para algunas organizaciones pequeñas, en su lugar pueden buscar la administración segura de la configuración y el regulate de cambios para detectar las caídas de archivos maliciosos.

«Desafortunadamente, las PYMES tienen que dar un primer paso, que es reconocer que les ocurrirá un ciberataque y que no son demasiado pequeñas para ser de interés», dice Schrader. «El interés que tienen los piratas informáticos es obtener la información de la PYME sobre sus clientes (y luego) trabajar para los objetivos corporativos más grandes, ya sean clientes o proveedores de la PYME».

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicación y ha cubierto redes, seguridad y TI como escritor y editor desde 1992. Steve vive en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial