Informes sobre malware

Evolución de las ciberamenazas en el segundo trimestre de 2022

Ataques selectivos

Nueva técnica para instalar malware sin archivos

A principios de este año, descubrimos una campaña maliciosa que empleaba una nueva técnica para instalar malware sin archivos en las máquinas objetivo: inyectar shellcode directamente en los registros de eventos de Windows. Los atacantes utilizan esta técnica para ocultar la última etapa, el troyano, en el sistema de archivos.

El ataque comienza conduciendo a las víctimas a un sitio web legítimo y engañándolas para que descarguen un archivo .RAR comprimido que contiene los instrumentos de pruebas de penetración de Cobalt Strike y SilentBreak. Los atacantes los utilizan para inyectar código en cualquier proceso que deseen. Los atacantes inyectan el malware directamente en la memoria del sistema, sin dejar artefactos en la unidad local que puedan alertar a los instrumentos forenses y de seguridad tradicionales basados en firmas. El malware sin archivos no es nuevo, pero sí lo es la forma en que el shellcode cifrado que contiene la carga útil maliciosa se incrusta en los registros de eventos de Windows.

El código es único en su género, sin similitudes con el malware conocido, por lo que no está claro quién está detrás del ataque.

WinDealer, el software espía Man-on-the-Side

Hace poco publicamos nuestro análisis de WinDealer, un malware desarrollado por el actor de amenazas APT LuoYu. Uno de los aspectos más interesantes de esta campaña es que el grupo utilizó el ataque Man-on-the-Side para distribuir el malware y controlar las computadoras afectadas. Un ataque Man-on-the-Side presupone que el atacante es capaz de controlar el canal de comunicación, lo que le permite leer el tráfico e inyectar mensajes arbitrarios en el intercambio normal de datos. En el caso de WinDealer, los atacantes interceptaron una solicitud de actualización de un software legítimo y cambiaron el archivo de actualización por uno que contenía amenazas.

El malware no contiene la dirección exacta del servidor C2 (de mando y control), lo que dificulta su localización por parte de los investigadores de seguridad. En cambio, intenta acceder a una dirección IP aleatoria de un rango predefinido. A continuación, los atacantes interceptan la solicitud y le envían una respuesta. Para ello, los atacantes necesitan un acceso constante a los routers de toda la subred, o a algunos instrumentos avanzados en los ISP.

La gran mayoría de los objetivos de WinDealer se encuentran en China: organizaciones diplomáticas extranjeras, miembros de la comunidad académica o empresas dedicadas a la defensa, la logística o las telecomunicaciones. Sin embargo, a veces el grupo LuoYu APT también infecta objetivos en otros países: Alemania, Austria, India, República Checa, Rusia y Estados Unidos. En los últimos meses, también se ha intensificado su interés por empresas de otros países de Asia Oriental y sus oficinas ubicadas en China.

ToddyCat: un actor de amenazas hasta ahora desconocido ataca a organizaciones de alto nivel en Europa y Asia

En junio publicamos nuestro análisis de ToddyCat, un actor de amenazas APT relativamente nuevo que no hemos podido relacionar con otros actores conocidos. La primera oleada de ataques, lanzada contra un número limitado de servidores en Taiwán y Vietnam, tuvo como objetivo los servidores Microsoft Exchange, que el actor de la amenaza infectó con Samurai, un sofisticado backdoor pasivo que suele funcionar en los puertos 80 y 443. El malware permite la ejecución arbitraria de código C# y se utiliza junto a múltiples módulos que permiten al atacante administrar el sistema remoto y realizar movimientos laterales dentro de la red objetivo. En algunos casos específicos, los atacantes también utilizan el backdoor Samurai para lanzar otro sofisticado programa malicioso que hemos denominado Ninja. Es probable que sea un componente de un kit de instrumentos de post-explotación desconocido, utilizado exclusivamente por ToddyCat.

En la siguiente oleada se produjo un aumento repentino de los ataques, cuando el actor de la amenaza comenzó a abusar de la vulnerabilidad ProxyLogon para atacar a organizaciones de múltiples países, como Irán, India, Malasia, Eslovaquia, Rusia y el Reino Unido.

Después observamos otras variantes y campañas que atribuimos al mismo grupo. Además de afectar a la mayoría de los países mencionados, el actor de la amenaza también atacó organizaciones militares y gubernamentales con sede en Indonesia, Uzbekistán y Kirguistán. En la tercera ola, la superficie de ataque se extendió a los sistemas de escritorio.

La puerta trasera SessionManager IIS

En 2021, observamos entre algunos actores de amenazas la tendencia a desplegar una puerta trasera dentro de IIS después de explotar una de las vulnerabilidades de tipo ProxyLogon dentro de Microsoft Exchange. El lanzamiento de un módulo IIS como puerta trasera permite a los actores de la amenaza mantener un acceso —persistente, resistente a las actualizaciones y relativamente sigiloso— a la infraestructura de TI de una organización objetivo, para recopilar correos electrónicos, crear más accesos maliciosos o administrar en secreto los servidores afectados.

El año pasado publicamos nuestro análisis de una de estas puertas traseras de IIS, llamada Owowa. A principios de este año investigamos otra, SessionManager. Desarrollada en C++, SessionManager es un módulo malicioso que usa el código nativo de IIS. El objetivo de los atacantes es que algunas aplicaciones IIS lo carguen, para procesar las peticiones HTTP legítimas que se envían todo el tiempo al servidor. Estos módulos maliciosos suelen esperar peticiones HTTP que parecen legítimas pero que sus operadores crearon para que  desencadenen acciones basadas en las instrucciones ocultas de los operadores y luego pasen de forma transparente la petición al servidor para que la procese como cualquier otra petición.

Es por eso que no es fácil detectar estos módulos con las prácticas habituales de supervisión.

SessionManager se ha utilizado contra ONG y organizaciones gubernamentales de África, Sudamérica, Asia, Europa y Oriente Medio.

Creemos que este módulo IIS malicioso puede haber sido utilizado por el actor de amenazas GELSEMIUM, debido a que las víctimas de ambos son similares y al uso de una variante común de OwlProxy.

Otros programas maliciosos

Spring4Shell

A finales de marzo, los investigadores descubrieron una vulnerabilidad crítica (CVE-2022-22965) en Spring, un marco de trabajo de código abierto para la plataforma Java. Se trata de una vulnerabilidad de ejecución remota de código (RCE), que permite a un atacante ejecutar código malicioso de forma remota en un equipo sin parches. La vulnerabilidad afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan bajo la versión 9 o posteriores de Java Development Kit. Por analogía con la conocida vulnerabilidad Log4Shell, ésta fue bautizada Spring4Shell.

Cuando los investigadores lo comunicaron a VMware, ya se había publicado en GitHub una prueba de concepto del exploit. Se la eliminó al poco tiempo, pero es poco probable que los ciberdelincuentes no se percataran de que era una vulnerabilidad con tanto potencial peligroso.

Puede encontrar más detalles, entre ellos las medidas de mitigación apropiadas, en nuestra entrada del blog.

Vulnerabilidad explotada activamente en Windows

Entre las vulnerabilidades corregidas en la actualización del “martes de parches” de mayo había una que ha sido explotada activamente en el mundo real. No se considera que la vulnerabilidad de suplantación de la Autoridad de Seguridad Local (LSA) de Windows (CVE-2022-26925) sea crítica en sí misma. Sin embargo, cuando la vulnerabilidad se utiliza en un ataque de retransmisión de New Technology LAN Manager (NTLM), la puntuación CVSSv3 combinada para la cadena de ataque es de 9,8. La vulnerabilidad, que permite que un atacante no autentificado obligue a los controladores de dominio a autentificarse en el servidor del atacante utilizando NTLM, ya estaba siendo explotada en el mundo real como una amenaza de día cero, por lo que era prioritario parchearla.

Follina, una vulnerabilidad en MSDT

A finales de mayo, los investigadores del equipo nao_sec informaron  de una nueva vulnerabilidad de día cero en MSDT (la herramienta de diagnóstico de soporte de Microsoft) que puede ser explotada utilizando un documento malicioso de Microsoft Office. La vulnerabilidad, que recibió el nombre de CVE-2022-30190 y también el apodo ‘Follina’, afecta a todos los sistemas operativos de la familia Windows, tanto de escritorio como de servidor.

MSDT se utiliza para recoger información de diagnóstico y enviarla a Microsoft cuando algo va mal con Windows. Se puede llamar desde otras aplicaciones a través del protocolo especial MSDT URL y un atacante puede ejecutar código arbitrario con los privilegios de la aplicación que llamó al MSDT, en este caso, con los derechos de la persona que abrió el documento malicioso.

Kaspersky ha observado intentos de explotar esta vulnerabilidad en el mundo real y pronosticamos que podrían ocurrir más en el futuro, incluyendo ataques de ransomware y violaciones de datos.

BlackCat: una nueva banda de ransomware

Era sólo cuestión de tiempo que otro grupo de ransomware llenara el vacío dejado tras el cierre de las operaciones de REvil y BlackMatter. El pasado mes de diciembre, aparecieron en foros de hackers anuncios de los servicios del grupo ALPHV, también conocido como BlackCat, en los que se afirmaba que habían estudiado los errores de sus predecesores y habían creado una versión mejorada del malware.

Los creadores del ransomware BlackCat ofrecen sus servicios utilizando el modelo Ransomware-as-a-Service (RaaS). Proporcionan a otros atacantes acceso a su infraestructura y código malicioso y, a cambio, obtienen una parte del rescate. Los miembros de la banda BlackCat son probablemente también responsables de las negociaciones con las víctimas. Esta es una de las razones por las que BlackCat cobró impulso con tanta rapidez: todo lo que tiene que hacer el “usuario de la franquicia” es obtener acceso a la red de destino.

El arsenal del grupo está compuesto por varios elementos.  Uno es el cifrador. Está está escrito en el lenguaje Rust, lo que permite a los atacantes crear un instrumento multiplataforma, con versiones del malware que funcionan tanto en entornos Windows como Linux. Otro es la utilidad Fendr (también conocida como ExMatter), utilizada para exfiltrar datos de la infraestructura infectada. El uso de este instrumento sugiere que BlackCat puede ser una nueva marca de la facción BlackMatter, ya que ésta era la única banda conocida que lo utilizaba. Otros instrumentos son PsExec, utilizado para realizar el movimiento lateral en la red de la víctima; Mimikatz, un conocido software para hackers; y el software Nirsoft, utilizado para extraer las contraseñas de la red.

El ransomware Yanluowang: cómo recuperar los archivos cifrados

El nombre de Yanluowang hace referencia a la deidad china Yanluo Wang, uno de los Diez reyes del infierno. Este ransomware es relativamente reciente. No sabemos mucho sobre las víctimas, aunque los datos de Kaspersky Security Network indican que el actor de la amenaza ha realizado ataques en Estados Unidos, Brasil, Turquía y algunos otros países.

El bajo número de infecciones se debe a la naturaleza selectiva del ransomware: el actor de la amenaza prepara y ejecuta ataques que sólo apuntan a determinadas empresas.

Nuestros expertos descubrieron una vulnerabilidad que permite recuperar archivos sin la clave de los atacantes -aunque sólo bajo ciertas condiciones- con la ayuda de un ataque de texto plano conocido. Este método puede contrarrestar el algoritmo de cifrado si se dispone de dos versiones del mismo texto: una limpia y otra cifrada. Si la víctima tiene copias limpias de algunos de los archivos cifrados, nuestro Rannoh Decryptor actualizado puede analizarlos y recuperar el resto de la información.

Hay un inconveniente: Yanluowang corrompe los archivos de una forma ligeramente diferente según su tamaño. Cifra por completo los archivos pequeños (menos de 3 GB) y parcialmente los grandes. Así que el descifrado requiere archivos limpios de diferentes tamaños. Para los archivos de menos de 3 GB, basta con tener el original y una versión cifrada del archivo de 1024 bytes o más. Sin embargo, para recuperar archivos de más de 3 GB, se necesitan archivos originales del tamaño adecuado. Al mismo tiempo, si encuentra un archivo limpio de más de 3 GB, en la mayoría de los casos será posible recuperar tanto los archivos grandes como los pequeños.

TTPs de ransomware

En junio, realizamos un análisis profundo de las tácticas, técnicas y procedimientos (TTP) de las ocho familias de ransomware más extendidas: Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte y BlackCat. Nuestro objetivo era ayudar a los encargados de la defensa de los sistemas corporativos a entender cómo operan los grupos de ransomware y cómo protegerse contra sus ataques.

El informe incluye lo siguiente

  • Los TTPs de ocho grupos modernos de ransomware.
  • Una descripción de cómo los diferentes grupos comparten más de la mitad de los componentes y TTP comunes, y de cómo las etapas centrales del ataque se ejecutan de forma idéntica en todos los grupos.
  • Un diagrama de la “cyber kill chain” que combina las intersecciones visibles y los elementos comunes de los grupos de ransomware seleccionados y permite predecir los siguientes pasos de los actores de la amenaza.
  • Un análisis detallado de cada técnica con ejemplos de cómo las utilizan diversos grupos; y una lista completa de mitigaciones.
  • Reglas SIGMA basadas en las TTP descritas, que pueden aplicarse a las soluciones SIEM

Tendencias del ransomware en 2022

En vísperas del Día contra el ransomware, que se celebra el 12 de mayo, aprovechamos la oportunidad para esbozar las tendencias que caracterizan al ransomware en 2022. En nuestro informe, llamamos la atención sobre varias tendencias que hemos observado.

En primer lugar, vemos que se está generalizando el desarrollo de ransomware multiplataforma, ya que los ciberdelincuentes tratan de penetrar en entornos complejos que ejecutan una variedad de sistemas operativos. Gracias al uso de lenguajes multiplataforma como Rust y Golang, los atacantes pueden portar su código, lo que les permite cifrar datos en más computadoras.

En segundo lugar, las bandas de ransomware siguen industrializándose y evolucionando para convertirse en verdaderas empresas, adoptando las técnicas y procesos utilizados en las compañías de software legítimas.

En tercer lugar, los desarrolladores de ransomware están adoptando una postura política, involucrándose en el conflicto entre Rusia y Ucrania.

Por último, ofrecemos las mejores recomendaciones prácticas que las organizaciones deben adoptar para defenderse de los ataques de ransomware:

  • Mantenga el software actualizado en todos los dispositivos.
  • Centre su estrategia de defensa en la detección de los movimientos laterales y la exfiltración de datos.
  • Active la protección contra el ransomware para todos los endpoints.
  • Instale soluciones antiAPT y EDR, que permitan descubrir y detectar amenazas avanzadas, investigar y solucionar a tiempo los incidentes.
  • Proporcione a su equipo SOC acceso a la información más reciente sobre amenazas.

El regreso de Emotet

Emotet existe desde hace ocho años. Cuando se lo vio por primera vez, en 2014, su principal funcionalidad era robar credenciales bancarias. Con el tiempo, sufrió numerosas transformaciones y se convirtió en una de las botnets más potentes. Emotet saltó a los titulares en enero de 2021, cuando sus operaciones fueron desbaratadas gracias a los esfuerzos conjuntos de las fuerzas del orden de varios países. Estos “desmantelamientos” no siempre conducen a la desaparición de una operación cibercriminal.  Los ciberdelincuentes tardaron casi 10 meses en reconstruir la infraestructura, pero Emotet volvió en noviembre de 2021. En aquel momento, el malware Trickbot se utilizaba para distribuir Emotet, pero ahora se está propagando por sí mismo a través de campañas de spam malicioso.

Basándonos en el reciente análisis del protocolo de Emotet y las respuestas del C2, podemos decir que ahora Emotet es capaz de descargar 16 módulos adicionales. Pudimos obtener 10 de ellos (incluyendo dos copias diferentes del módulo de spam) que Emotet utiliza para robar credenciales, contraseñas, cuentas y correos electrónicos, y para difundir spam.

Puede leer nuestro análisis de estos módulos, así como las estadísticas de los últimos ataques de Emotet, aquí.

Emotet infecta las computadoras de empresas y personas particulares de todo el mundo. Nuestra telemetría indica que en el primer trimestre de 2022, las personas de los siguientes países fueron las más atacadas: Italia, Rusia, Japón, México, Brasil, Indonesia, India, Vietnam, China, Alemania y Malasia.

Además, hemos visto un crecimiento significativo en el número de personas atacadas por Emotet.

Troyanos móviles de suscripción

Los troyanos que suscriben a las victimas a servicios de pago son un método bien establecido para robar dinero de las personas que utilizan dispositivos Android. Se hacen pasar por aplicaciones útiles y, una vez instaladas, se suscriben a servicios de pago.

Los desarrolladores de este tipo de troyanos ganan dinero a través de las comisiones: obtienen una parte de lo que la persona “gasta”. Los fondos suelen deducirse de la cuenta de teléfono móvil, aunque en algunos casos pueden cargarse a una tarjeta bancaria. Hemos analizado los ejemplos más notables que hemos visto en los últimos 12 meses, de las familias Jocker, MobOk, Vesub y GriftHorse.

Por lo general, cuando alguien quiere suscribirse a un servicio, y para contrarrestar los intentos de suscripción automática, los proveedores de servicios le piden que introduzcan un código único enviado por SMS. Para burlar esta protección, los programas maliciosos pueden solicitar permiso de acceso a los mensajes de texto. Cuando no lo obtienen, pueden robar los códigos de confirmación de las notificaciones emergentes acerca de los mensajes entrantes.

Algunos troyanos no sólo roban los códigos de confirmación de los mensajes de texto o de las notificaciones, sino que también evanden los CAPTCHA, otro medio de protección contra las suscripciones automáticas. Para reconocer el código de la imagen, el troyano la envía a un servicio especial de reconocimiento de CAPTCHA.

Algunos programas maliciosos se distribuyen a través de sitios dudosos, afirmando que las apps están allí porque han sido prohibidas en las tiendas oficiales. Pueden, por ejemplo, hacerse pasar por aplicaciones para descargar contenidos de YouTube u otros servicios de streaming, o como una versión no oficial de GTA5 para Android. Además, pueden aparecer en estos mismos sitios como versiones gratuitas de aplicaciones populares y caras, como Minecraft.

Algunos troyanos de suscripción móvil son menos sofisticados. Cuando se ejecutan por primera vez, piden al usuario que introduzca su número de teléfono, supuestamente para iniciar la sesión. Pero en cuanto introducen su número y pulsan el botón de inicio de sesión, empieza la suscripción y el dinero se carga en la cuenta de su móvil.

Otros troyanos emplean suscripciones con pagos periódicos. Si bien esto requiere del consentimiento del usuario del teléfono, éste puede no darse cuenta de que está accediendo a hacer pagos automáticos regulares. Además, el primer pago suele ser ínfimo, pero los cargos posteriores son mucho mayores.

Puede leer más sobre este tipo de troyanos para móviles, junto con consejos sobre cómo evitar convertirse en víctima de ellos, aquí.

La amenaza del stalkerware

Durante los últimos cuatro años, hemos publicado informes anuales sobre la situación del stalkerware, en particular utilizando datos de Kaspersky Security Network. Este año, nuestro informe también incluyó los resultados de una encuesta sobre el abuso digital, encargada por Kaspersky y varias organizaciones públicas.

Los programas de acoso (stalkerware) proporcionan los medios digitales para que una persona vigile en secreto la vida privada de otra, y a menudo se utilizan para facilitar la violencia psicológica y física contra las parejas. Este software está disponible en el mercado y puede acceder a una serie de datos personales, como la ubicación del dispositivo, el historial del navegador, los mensajes de texto, los chats de las redes sociales, las fotos y otros. Puede ser legal comercializar stalkerware, pero es ilegal usarlo para vigilar a alguien sin su consentimiento. Los desarrolladores de stalkerware se benefician del vago marco legal que todavía existe en muchos países para regularlo.

Nuestros datos indican que en 2021 unas 33 000 personas se vieron afectadas por el stalkerware.

Evolución de los usuarios afectados año tras año desde 2018

Las cifras son menores que las que hemos visto en los últimos años. Sin embargo, es importante recordar que el descenso en 2020 y 2021 se produjo durante los sucesivos confinamientos por el COVID-19, es decir, durante las condiciones que hacían que los acosadores no necesitaran instrumentos digitales para vigilar y controlar la vida personal de la pareja. También es importante tener en cuenta que las aplicaciones para móviles son sólo uno de los métodos utilizados por los agresores para rastrear a alguien: otros son los dispositivos de seguimiento como las AirTags, las aplicaciones para computadoras portátiles, las cámaras web, los sistemas domésticos inteligentes y los rastreadores de fitness. KSN sólo rastrea el uso de las aplicaciones móviles. Por último, los datos de KSN se obtienen de dispositivos móviles protegidos por productos de Kaspersky, pero hay mucha gente que no protege sus dispositivos móviles.  La Coalición contra el Stalkerware, que reúne a representantes del sector informático y de empresas sin ánimo de lucro, cree que el número total de personas afectadas por esta amenaza podría ser 30 veces mayor, es decir, alrededor de un millón de personas.

El stalkerware sigue afectando a personas de todo el mundo: en 2021, observamos detecciones en 185 países o territorios.

Al igual que en 2020, Rusia, Brasil, EE.UU. e India son los cuatro países con más afectados. Curiosamente, México cayó del quinto al noveno puesto. Argelia, Turquía y Egipto entraron en el TOP 10 y sustituyeron a Italia, Reino Unido y Arabia Saudí, que lo abandonaron.

Estas son nuestras recomendaciones para reducir el riesgo de ser blanco de un ataque:

  • Utilice una contraseña única y compleja en su teléfono y no la comparta con nadie.
  • Trate de no dejar su teléfono sin vigilancia; y si tiene que hacerlo, bloquéelo.
  • Descargue apps sólo de las tiendas oficiales.
  • Proteja su dispositivo móvil con un software de seguridad de confianza y asegúrese de que sea capaz de detectar el stalkerware.

Recuerde también que, si descubre stalkerware en su teléfono, para solucionar el problema no basta con eliminar la aplicación de stalkerware. Esto alertará al maltratador de que se ha dado cuenta de sus actividades, lo que puede precipitar el maltrato físico. Mas bien busque ayuda: puede encontrar una lista de organizaciones que pueden proporcionar asistencia y apoyo en el sitio de la Coalición contra el Stalkerware.

Evolución de las ciberamenazas en el segundo trimestre de 2022

Su dirección de correo electrónico no será publicada.

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada