Los cibervillanos Malware más temibles del 2021

4 noviembre 2021
Noticias | Seguridad
Los cibervillanos malware mas temidos del 2021

Los cibervillanos Malware más temibles del 2021

Aparecen cuando menos lo esperamos para sembrar caos e incertidumbre. La mayoría posee una doble identidad que oculta sus verdaderas (malignas) intenciones. Son maestros del engaño y van a por todas, sin importar las consecuencias. Muchos creerían que estamos hablando de un villano de películas, pero esta vez están equivocados. Hoy hablamos de los villanos más temidos del mundo cibernético, los Malware. 

Estos códigos maliciosos, utilizados por hackers de la misma naturaleza para intentar invadir, dañar o deshabilitar ordenadores, sistemas informáticos, redes, tabletas y dispositivos móviles, a menudo asumiendo el control parcial de las operaciones de un dispositivo con el fin de obtener algún tipo de beneficio económico, son los verdaderos villanos de nuestros tiempos.

Como ya sabemos, hay muchos tipos de ciberamenazas, pero para este 2021 y como ya nos acercamos a fin de año, hemos decidido hacer una selección de los agentes malévolos más connotados y peligrosos de ‘’Ciudad Cibernética’’.

Con ustedes, los invitados de honor:

Lemonduck malware

LEMONDUCK

LemonDuck es relativamente nuevo, pero ya es conocido como un famoso Botnet y payload (lista de instrucciones, procesos o datos para llevar a cabo una acción) multiplataforma relacionado al proceso de criptominería. Lo más molesto de este Malware es que utiliza una amplia gama de mecanismos de propagación e infección, correos electrónicos de phishing, exploits, dispositivos USB o fuerza bruta entre otros.

Este supervillano se hizo aún más popular durante el 2021 cuando agregó a su arsenal algunos super poderes nuevos como robar credenciales y eliminar protocolos de seguridad. Para empeorar las cosas, LemonDuck es capaz de atacar tanto sistemas Linux, como Windows (es por esto que se considera un malware multiplataforma), lo cual es muy útil (para él) y poco común. Este perspicaz virus utiliza las vulnerabilidades mas antiguas para ingresar al sistema. Estas vulnerabilidades generalmente no son parcheadas por las herramientas de ciberseguridad ya que estas habitualmente se centran en parchear las más recientes y populares.

Una peculiaridad interesante de LemonDuck es que quita acceso a tu dispositivo a otros hackers al eliminar infecciones de malware de la competencia. LemonDuck lucha por ser el malware más poderoso y malvado. Incluso previene nuevas infecciones parcheando las vulnerabilidades que pueda tener el dispositivo para que no ingresen otros hackers. LemonDuck es especialista en minar la criptomoneda Monero o XMR. El Malware prefiere este criptoactivo porque posee un algoritmo más eficiente a nivel de hardware que, por lo tanto, asegura mayores ganancias a los ciberdelincuentes. Estas ganancias son instantáneas y son generadas a costa de engrosar la factura eléctrica de la víctima, algo nada agradable para nadie en los tiempos que corren. No se exige ningún rescate y, por lo tanto, la víctima no necesita consentir o tener conocimiento del ataque, lo que lo hace más temible aún.

Revil malware

REVIL

REvil, por supuesto, forma parte de nuestra lista. El internacionalmente conocido ataque a la cadena de suministro Kaseya el pasado julio no es el único ataque realizado por REvil. Muchas otras empresas han sido atacadas también, incluyendo al mayor proveedor de carnes del mundo, JBS. No es de extrañar que un malware con un nombre como ‘’REvil’’ (Ransomware Evil) esté en nuestra lista como invitado de honor.

Es posible que hayas oído hablar del Ransomware Gandcrab en 2018, o de Sodinokibi en 2019. Bueno, son todos parte del mismo grupo y este año se hacen llamar REvil. Ofrecen Ransomware as a Service (RaaS), lo que significa que hacen el payload encriptado y además facilitan los sitios de filtración para hacer la extorsión en la Dark Web.

Los afiliados llevan a cabo el ataque (como ellos consideren pertinente), utilizarán el payload del Ransomware y compartirán las ganancias.

Poco tiempo después del ataque a Kaseya y de las reuniones posteriores entre la Casa Blanca y Vladimir Putin, los pagos de REvil y los sitios de filtraciones cayeron y los onion links (links a páginas de la Dark Web) dejaron de funcionar.

“Según una información no corroborada, la infraestructura del servidor REvil recibió una solicitud legal del gobierno que obligaba a REvil a eliminar por completo la infraestructura del servidor y desaparecer. Sin embargo, no está confirmado”. Advanced Intel’s Vitali Kremez

Al igual que con muchos despiadados malwares en esta lista, probablemente no hemos oído lo último de REvil (su sitio de filtración en la Dark Web volvió a estar en línea a principios de septiembre). Después de tomar unas buenas vacaciones, están volviendo a encender su infraestructura, así que estamos en espera de la secuela.

Trickbot malware

TRICKBOT

Ha existido durante una década como un popular troyano bancario que se ha convertido en una de las redes de bots más reconocidas. Utilizado por una gran parte del inframundo cibernético, Trickbot está vinculado a muchos grupos de Ransomware debido a su versatilidad y resistencia. A fines del otoño pasado, el Departamento de Defensa de Estados Unidos, Microsoft y otras entidades atacaron la botnet del grupo y casi la destruyeron. Pero como cualquier buen zombi, resurgió para convertirse en la botnet líder después del cierre de Emotet.

Las infecciones de Trickbot casi siempre conducen a un ataque de Ransomware. Una vez en el dispositivo, se mueve lateralmente a través de las redes, utilizando exploits para propagarse y recopilar tantas credenciales como sea posible. A veces, se necesitan semanas o meses hasta que se recopilen todas las credenciales de dominio. Una vez que tienen el control total del entorno, se aseguran de que el Ransomware cause el mayor daño a través de mitigaciones.

Dridex malware

DRIDEX

Dridex, otro troyano bancario e infostealer (ladrón de información), muy popular, que ha existido durante años. Está estrechamente vinculado a Ransomware como Bitpaymer/Doppelpaymer. Dridex se utilizaba en las máquinas de Emotet hasta su eventual cierre, pero ahora ejecuta sus propias campañas de Malspam.

Una vez en el equipo, también se mueve lateralmente a través de la red para colocar Dridex Loaders en cada máquina para crear persistencia. Al igual que Trickbot, Dridex se toma su tiempo para recopilar todas las credenciales posibles hasta obtener el control total. A partir de ahí, puede hacer el mayor daño posible al mismo tiempo que evita que las estrategias de mitigación lo apague.

Los autores de Dridex son conocidos como el grupo “Evil Corp”, cuyo líder es buscado por el FBI que ofrece una recompensa máxima por su captura de 5 millones de dólares.

Conti malware

CONTI

El siguiente villano en nuestra lista es Conti. Conti es un virus operado por humanos, lo que significa que en lugar de abrirse camino automáticamente en un sistema, puede ser manipulado por personas reales. Este se considera un tipo de Ransomware más sofisticado porque es un Ransomware de «doble extorsión». En otras palabras, mientras que un Ransomware tradicional solo encripta archivos en un ordenador u otro tipo de sistema, Conti también extrae una copia de todos los datos. Como resultado, los datos robados se pueden usar para exigir un rescate adicional a cambio de no publicar los datos en la Dark Web.

Este grupo de Ransomware no es nuevo, son los mismos operadores tras Ryuk (que usa Emotet y Trickbot). De hecho, fueron considerados por la FBI como el grupo de Ransomware más exitoso en 2019.

Estos autores de Ransomware también operan un sitio de filtraciones, filtraciones que utilizan para intimidar aún más a sus víctimas para que paguen rescates.

Conti fue noticia en muchos titulares y se infiltró en muchas organizaciones grandes en 2021, y por lo que se sabe, aún no cierra sus operaciones.

CobalStrike

COBALT STRIKE

Llegando al final de nuestra lista tenemos a Cobalt Strike. Cobalt Strike es una herramienta diseñada por white hats (hackers éticos). El objetivo de esta es imitar a los actores de amenazas más maliciosos y sus técnicas para probar protocolos de seguridad, practicar los procedimientos de respuesta y realizar los cambios pertinentes. Desafortunadamente, como la mayoría de las herramientas en seguridad, el conocimiento destinado a ayudar muchas veces puede ser utilizado de forma maliciosa por los delincuentes.

Es triste tener que incluir una herramienta para sombreros blancos entre nuestros cibervillanos más temidos, pero esta herramienta es fácil de usar para ataques escalables y personalizados. No es de extrañar que tantos ciberdelincuentes lo estén adoptando como una de las armas preferidas de su arsenal.

MENCIONES DESHONROSAS

Hello Kitty: este grupo recibe una mención deshonrosa debido a su único ataque a VMWare ESXi mediante exploits. El malware se hizo famoso al ingresar a CD Projekt RED y robar su código fuente para juegos, sobre todo para CyberPunk 2077 y Witcher 3.

DarkSide: el ataque al gasoducto de Colonial fue el ataque más notable de 2021, causando una escasez de gas en cascada agravada por las compras de pánico. Nos recordó lo disruptivos que pueden llegar a ser los ataques de Ransomware y el hype que los rodeó nos trajo memorias sobre lo ocurrido con Wannacry.

shut down malware

Los que ya no están con nosotros 🙁

COMO MANTENERTE A SALVO de los malware

Es hora tomar cartas en el asunto, pulir las armas, afinar la puntería y aprender a protegerse del monstruoso mundo de los Malware. Dado que los atacantes se vuelven más sofisticados cada año, es importante tener una estrategia de protección de varios niveles.

Aquí te entregamos algunos consejos:

 

Empresas

  • Securiza los protocolos de escritorio remoto (RDP). Utiliza soluciones RDP que cifren datos y utilicen autenticación multifactor, como por ejemplo una llave de seguridad con certificados. Este necesario aumento de la seguridad protege contra las vulnerabilidades cuando se conecta de forma remota a otras máquinas. Y para los usuarios con privilegios administrativos, lo ideal es utilizar un PAM de última generación.
  • Educa a los usuarios finales. La prevención de ataques comienza con una mayor conciencia entre los usuarios finales. La ejecución periódica de capacitaciones de concienciación sobre ciberseguridad y simulaciones de phishing mantiene los datos seguros y protegidos. Además, asegúrate de que los empleados sepan cuándo y cómo denunciar un mensaje sospechoso.
  • Instala software de ciberseguridad fiable. Elige soluciones EDR que utilicen inteligencia de amenazas global en tiempo real y aprendizaje automático para detener las amenazas. La implementación de soluciones de monitorización del tráfico de red también ayudará a detectar ataques y vulnerabilidades. Busca protección con blindaje de varias capas para detectar y prevenir ataques en numerosas etapas de ataque diferentes.

  • Establece un plan sólido de respaldo y recuperación ante desastres. Con el teletrabajo, las empresas no pueden permitirse prescindir de un respaldo sólido. Realice copias de seguridad con regularidad y configure alertas para que los administradores puedan ver fácilmente si algo anda mal. Para la información más crítica, utilice dispositivos cifrados para almacenar los datos. Incluso si los datos se guardan en la nube, recomendamos optar por cifrado hardware.

 

 

Usuarios individuales

  • Una buena dosis de sospecha hacia los mensajes que recibas nunca está mal. Un buen ataque es la mejor defensa. Actúa con tus correos electrónicos de la misma manera en que actuarías en un cementerio en una película de terror. No hagas clic en enlaces o archivos adjuntos en correos electrónicos. Se cuidadoso con correos electrónicos, mensajes de texto, llamadas telefónicas o mensajes de redes sociales que soliciten información personal.
  • Protege tus dispositivos con antivirus y una VPN. Y siempre que sea posible, evita soluciones gratuitas que, en muchos casos, venden tus datos a terceros. Asegúrate de proteger no solo los ordenadores, sino también los móviles y las tabletas. Y cuando te deshagas de un dispositivo antiguo, asegúrate de borrar toda la información primero y reestablecerlo a su estado de fábrica.
  • Mantén tu software antivirus y tus aplicaciones actualizadas. Los hackers utilizan software y sistemas operativos desactualizados para introducir malware en tu sistema y robarte. Siempre, instala las actualizaciones.
  • Mantén una copia de seguridad segura en la nube. Recomendamos utilizar una copia de seguridad en línea que almacene tus datos en un formato cifrado y una unidad de copia de seguridad física que se pueda desconectar cuando no esté en uso.
  • Crea contraseñas sólidas y únicas (¡y no las compartas!). Contraseña corta o sencilla = Vulnerabilidad. Utiliza frases de contraseña para aumentar los caracteres de las contraseñas y defenderte de la fuerza bruta. Puedes utilizar un administrador de contraseñas para que te ayude a crear y almacenar buenas contraseñas. De esa forma, no tendrás que recordarlas todas ni escribirlas.
  • Si un archivo que descargaste te pide que habilites las macros, NO LO HAGAS. Esta es una fuerte señal de que el archivo podría estar infectado con un código malicioso. Aunque las macros tienen usos legítimos, son extremadamente raras en un contexto de usuario doméstico normal.
PUBLICADO POR:<br>Camila Silberstein
PUBLICADO POR:
Camila Silberstein
PUBLICADO POR:<br>Camila Silberstein
PUBLICADO POR:
Camila Silberstein

Artículos relacionados

DNS sobre HTTPS, cómo y por qué debes activarlo

DNS sobre HTTPS, cómo y por qué debes activarlo

por | Ene 11, 2023

Cuando tu navegador accede a un sitio web, primero necesita traducir la URL amigable (como dotforce.es) a la dirección IP del servidor público que aloja ese sitio web. Esto se conoce como búsqueda DNS. El DNS tradicional no está cifrado, a diferencia del tráfico web...

Active Directory, ese extraño desconocido para el XDR

Active Directory, ese extraño desconocido para el XDR

por | May 24, 2022

En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD). Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.