+34 914 230 991 info@dotforce.es

Los cibervillanos Malware más temibles del 2021

4 noviembre 2021
Los cibervillanos malware mas temidos del 2021

Los cibervillanos Malware más temibles del 2021

Aparecen cuando menos lo esperamos para sembrar caos e incertidumbre. La mayoría posee una doble identidad que oculta sus verdaderas (malignas) intenciones. Son maestros del engaño y van a por todas, sin importar las consecuencias. Muchos creerían que estamos hablando de un villano de películas, pero esta vez están equivocados. Hoy hablamos de los villanos más temidos del mundo cibernético, los Malware. 

Estos códigos maliciosos, utilizados por hackers de la misma naturaleza para intentar invadir, dañar o deshabilitar ordenadores, sistemas informáticos, redes, tabletas y dispositivos móviles, a menudo asumiendo el control parcial de las operaciones de un dispositivo con el fin de obtener algún tipo de beneficio económico, son los verdaderos villanos de nuestros tiempos.

Como ya sabemos, hay muchos tipos de ciberamenazas, pero para este 2021 y como ya nos acercamos a fin de año, hemos decidido hacer una selección de los agentes malévolos más connotados y peligrosos de ‘’Ciudad Cibernética’’.

Con ustedes, los invitados de honor:

Lemonduck malware

LEMONDUCK

LemonDuck es relativamente nuevo, pero ya es conocido como un famoso Botnet y payload (lista de instrucciones, procesos o datos para llevar a cabo una acción) multiplataforma relacionado al proceso de criptominería. Lo más molesto de este Malware es que utiliza una amplia gama de mecanismos de propagación e infección, correos electrónicos de phishing, exploits, dispositivos USB o fuerza bruta entre otros.

Este supervillano se hizo aún más popular durante el 2021 cuando agregó a su arsenal algunos super poderes nuevos como robar credenciales y eliminar protocolos de seguridad. Para empeorar las cosas, LemonDuck es capaz de atacar tanto sistemas Linux, como Windows (es por esto que se considera un malware multiplataforma), lo cual es muy útil (para él) y poco común. Este perspicaz virus utiliza las vulnerabilidades mas antiguas para ingresar al sistema. Estas vulnerabilidades generalmente no son parcheadas por las herramientas de ciberseguridad ya que estas habitualmente se centran en parchear las más recientes y populares.

Una peculiaridad interesante de LemonDuck es que quita acceso a tu dispositivo a otros hackers al eliminar infecciones de malware de la competencia. LemonDuck lucha por ser el malware más poderoso y malvado. Incluso previene nuevas infecciones parcheando las vulnerabilidades que pueda tener el dispositivo para que no ingresen otros hackers. LemonDuck es especialista en minar la criptomoneda Monero o XMR. El Malware prefiere este criptoactivo porque posee un algoritmo más eficiente a nivel de hardware que, por lo tanto, asegura mayores ganancias a los ciberdelincuentes. Estas ganancias son instantáneas y son generadas a costa de engrosar la factura eléctrica de la víctima, algo nada agradable para nadie en los tiempos que corren. No se exige ningún rescate y, por lo tanto, la víctima no necesita consentir o tener conocimiento del ataque, lo que lo hace más temible aún.

Revil malware

REVIL

REvil, por supuesto, forma parte de nuestra lista. El internacionalmente conocido ataque a la cadena de suministro Kaseya el pasado julio no es el único ataque realizado por REvil. Muchas otras empresas han sido atacadas también, incluyendo al mayor proveedor de carnes del mundo, JBS. No es de extrañar que un malware con un nombre como ‘’REvil’’ (Ransomware Evil) esté en nuestra lista como invitado de honor.

Es posible que hayas oído hablar del Ransomware Gandcrab en 2018, o de Sodinokibi en 2019. Bueno, son todos parte del mismo grupo y este año se hacen llamar REvil. Ofrecen Ransomware as a Service (RaaS), lo que significa que hacen el payload encriptado y además facilitan los sitios de filtración para hacer la extorsión en la Dark Web.

Los afiliados llevan a cabo el ataque (como ellos consideren pertinente), utilizarán el payload del Ransomware y compartirán las ganancias.

Poco tiempo después del ataque a Kaseya y de las reuniones posteriores entre la Casa Blanca y Vladimir Putin, los pagos de REvil y los sitios de filtraciones cayeron y los onion links (links a páginas de la Dark Web) dejaron de funcionar.

“Según una información no corroborada, la infraestructura del servidor REvil recibió una solicitud legal del gobierno que obligaba a REvil a eliminar por completo la infraestructura del servidor y desaparecer. Sin embargo, no está confirmado”. Advanced Intel’s Vitali Kremez

Al igual que con muchos despiadados malwares en esta lista, probablemente no hemos oído lo último de REvil (su sitio de filtración en la Dark Web volvió a estar en línea a principios de septiembre). Después de tomar unas buenas vacaciones, están volviendo a encender su infraestructura, así que estamos en espera de la secuela.

Trickbot malware

TRICKBOT

Ha existido durante una década como un popular troyano bancario que se ha convertido en una de las redes de bots más reconocidas. Utilizado por una gran parte del inframundo cibernético, Trickbot está vinculado a muchos grupos de Ransomware debido a su versatilidad y resistencia. A fines del otoño pasado, el Departamento de Defensa de Estados Unidos, Microsoft y otras entidades atacaron la botnet del grupo y casi la destruyeron. Pero como cualquier buen zombi, resurgió para convertirse en la botnet líder después del cierre de Emotet.

Las infecciones de Trickbot casi siempre conducen a un ataque de Ransomware. Una vez en el dispositivo, se mueve lateralmente a través de las redes, utilizando exploits para propagarse y recopilar tantas credenciales como sea posible. A veces, se necesitan semanas o meses hasta que se recopilen todas las credenciales de dominio. Una vez que tienen el control total del entorno, se aseguran de que el Ransomware cause el mayor daño a través de mitigaciones.

Dridex malware

DRIDEX

Dridex, otro troyano bancario e infostealer (ladrón de información), muy popular, que ha existido durante años. Está estrechamente vinculado a Ransomware como Bitpaymer/Doppelpaymer/Grief. Dridex se utilizaba en las máquinas de Emotet hasta su eventual cierre, pero ahora ejecuta sus propias campañas de Malspam.

Una vez en el equipo, también se mueve lateralmente a través de la red para colocar Dridex Loaders en cada máquina para crear persistencia. Al igual que Trickbot, Dridex se toma su tiempo para recopilar todas las credenciales posibles hasta obtener el control total. A partir de ahí, puede hacer el mayor daño posible al mismo tiempo que evita que las estrategias de mitigación lo apague.

Los autores de Dridex son conocidos como el grupo “Evil Corp”, cuyo líder es buscado por el FBI que ofrece una recompensa máxima por su captura de 5 millones de dólares.

Conti malware

CONTI

El siguiente villano en nuestra lista es Conti. Conti es un virus operado por humanos, lo que significa que en lugar de abrirse camino automáticamente en un sistema, puede ser manipulado por personas reales. Este se considera un tipo de Ransomware más sofisticado porque es un Ransomware de «doble extorsión». En otras palabras, mientras que un Ransomware tradicional solo encripta archivos en un ordenador u otro tipo de sistema, Conti también extrae una copia de todos los datos. Como resultado, los datos robados se pueden usar para exigir un rescate adicional a cambio de no publicar los datos en la Dark Web.

Este grupo de Ransomware no es nuevo, son los mismos operadores tras Ryuk (que usa Emotet y Trickbot). De hecho, fueron considerados por la FBI como el grupo de Ransomware más exitoso en 2019.

Estos autores de Ransomware también operan un sitio de filtraciones, filtraciones que utilizan para intimidar aún más a sus víctimas para que paguen rescates.

Conti fue noticia en muchos titulares y se infiltró en muchas organizaciones grandes en 2021, y por lo que se sabe, aún no cierra sus operaciones.

CobalStrike

COBALT STRIKE

Llegando al final de nuestra lista tenemos a Cobalt Strike. Cobalt Strike es una herramienta diseñada por white hats (hackers éticos). El objetivo de esta es imitar a los actores de amenazas más maliciosos y sus técnicas para probar protocolos de seguridad, practicar los procedimientos de respuesta y realizar los cambios pertinentes. Desafortunadamente, como la mayoría de las herramientas en seguridad, el conocimiento destinado a ayudar muchas veces puede ser utilizado de forma maliciosa por los delincuentes.

Es triste tener que incluir una herramienta para sombreros blancos entre nuestros cibervillanos más temidos, pero esta herramienta es fácil de usar para ataques escalables y personalizados. No es de extrañar que tantos ciberdelincuentes lo estén adoptando como una de las armas preferidas de su arsenal.

MENCIONES DESHONROSAS

Hello Kitty: este grupo recibe una mención deshonrosa debido a su único ataque a VMWare ESXi mediante exploits. El malware se hizo famoso al ingresar a CD Projekt RED y robar su código fuente para juegos, sobre todo para CyberPunk 2077 y Witcher 3.

DarkSide: el ataque al gasoducto de Colonial fue el ataque más notable de 2021, causando una escasez de gas en cascada agravada por las compras de pánico. Nos recordó lo disruptivos que pueden llegar a ser los ataques de Ransomware y el hype que los rodeó nos trajo memorias sobre lo ocurrido con Wannacry.

shut down malware

Los que ya no están con nosotros 🙁

COMO MANTENERTE A SALVO de los malware

Es hora tomar cartas en el asunto, pulir las armas, afinar la puntería y aprender a protegerse del monstruoso mundo de los Malware. Dado que los atacantes se vuelven más sofisticados cada año, es importante tener una estrategia de protección de varios niveles.

Aquí te entregamos algunos consejos:

 

Empresas

  • Securiza los protocolos de escritorio remoto (RDP). Utiliza soluciones RDP que cifren datos y utilicen autenticación multifactor, como por ejemplo una llave de seguridad con certificados. Este necesario aumento de la seguridad protege contra las vulnerabilidades cuando se conecta de forma remota a otras máquinas. Y para los usuarios con privilegios administrativos, lo ideal es utilizar un PAM de última generación.
  • Educa a los usuarios finales. La prevención de ataques comienza con una mayor conciencia entre los usuarios finales. La ejecución periódica de capacitaciones de concienciación sobre ciberseguridad y simulaciones de phishing mantiene los datos seguros y protegidos. Además, asegúrate de que los empleados sepan cuándo y cómo denunciar un mensaje sospechoso.
  • Instala software de ciberseguridad fiable. Elige soluciones EDR que utilicen inteligencia de amenazas global en tiempo real y aprendizaje automático para detener las amenazas. La implementación de soluciones de monitorización del tráfico de red también ayudará a detectar ataques y vulnerabilidades. Busca protección con blindaje de varias capas para detectar y prevenir ataques en numerosas etapas de ataque diferentes.

  • Establece un plan sólido de respaldo y recuperación ante desastres. Con el teletrabajo, las empresas no pueden permitirse prescindir de un respaldo sólido. Realice copias de seguridad con regularidad y configure alertas para que los administradores puedan ver fácilmente si algo anda mal. Para la información más crítica, utilice dispositivos cifrados para almacenar los datos. Incluso si los datos se guardan en la nube, recomendamos optar por cifrado hardware.

 

 

Usuarios individuales

  • Una buena dosis de sospecha hacia los mensajes que recibas nunca está mal. Un buen ataque es la mejor defensa. Actúa con tus correos electrónicos de la misma manera en que actuarías en un cementerio en una película de terror. No hagas clic en enlaces o archivos adjuntos en correos electrónicos. Se cuidadoso con correos electrónicos, mensajes de texto, llamadas telefónicas o mensajes de redes sociales que soliciten información personal.
  • Protege tus dispositivos con antivirus y una VPN. Y siempre que sea posible, evita soluciones gratuitas que, en muchos casos, venden tus datos a terceros. Asegúrate de proteger no solo los ordenadores, sino también los móviles y las tabletas. Y cuando te deshagas de un dispositivo antiguo, asegúrate de borrar toda la información primero y reestablecerlo a su estado de fábrica.
  • Mantén tu software antivirus y tus aplicaciones actualizadas. Los hackers utilizan software y sistemas operativos desactualizados para introducir malware en tu sistema y robarte. Siempre, instala las actualizaciones.
  • Mantén una copia de seguridad segura en la nube. Recomendamos utilizar una copia de seguridad en línea que almacene tus datos en un formato cifrado y una unidad de copia de seguridad física que se pueda desconectar cuando no esté en uso.
  • Crea contraseñas sólidas y únicas (¡y no las compartas!). Contraseña corta o sencilla = Vulnerabilidad. Utiliza frases de contraseña para aumentar los caracteres de las contraseñas y defenderte de la fuerza bruta. Puedes utilizar un administrador de contraseñas para que te ayude a crear y almacenar buenas contraseñas. De esa forma, no tendrás que recordarlas todas ni escribirlas.
  • Si un archivo que descargaste te pide que habilites las macros, NO LO HAGAS. Esta es una fuerte señal de que el archivo podría estar infectado con un código malicioso. Aunque las macros tienen usos legítimos, son extremadamente raras en un contexto de usuario doméstico normal.
PUBLICADO POR:<br>Camila Silberstein
PUBLICADO POR:
Camila Silberstein
PUBLICADO POR:<br>Camila Silberstein
PUBLICADO POR:
Camila Silberstein

Artículos relacionados

Active Directory, ese extraño desconocido para el XDR

Active Directory, ese extraño desconocido para el XDR

En este artículo quiero hablar de cómo proteger uno de los recursos más críticos en la infraestructura IT de cualquier organización: Microsoft Active Directory (AD). Este es el primer lugar al que atacan los cibercriminales una vez que consiguen acceder a tu red para tomar el control de una cuenta privilegiada o de una cuenta de usuario estándar existente y elevar los privilegios. Este comportamiento malicioso puede parecer normal a la vista de los sistemas de seguridad habituales y por ello en muchas ocasiones pasa desapercibido. Pero incluso en los casos en los que sí se detecta un ataque a AD, esta detección suele llegar demasiado tarde.

El metaverso: Guía para torpes

El metaverso: Guía para torpes

Cuando Mark Zuckerberg cambió el nombre de Facebook a Meta, a muchos les pilló por sorpresa y ahora muy pocos saben qué es Meta y la revolución que el metaverso está causando. Por si fuera poca la euforia, ahora las grandes marcas, como Adidas, también se están...

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: Todo lo que necesitas saber sobre ellos

Deepfakes: un poco de contexto actual Desde hace un par de semanas está circulando por internet un vídeo falso del presidente Zelensky en donde pide a sus tropas que depongan las armas y se rindan a las fuerzas rusas. Este vídeo (deepfake) circuló en las redes...

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede obtener más información en el siguiente enlace. Más información

POLITICA DE COOKIES Dot Force S.L. utiliza cookies en sus sitios web para atender a nuestros visitantes de acuerdo con este aviso de cookies. Puede obtener más información sobre esto a continuación. Si no acepta el uso de estas cookies, desactívelas siguiendo las instrucciones más abajo en esta página o cambie la configuración de su navegador para que las cookies de este sitio web no puedan enviarse ni almacenarse en su dispositivo. Acerca de las cookies Una cookie de Internet es un pequeño archivo que se envía desde un sitio web y se almacena en la computadora, tableta o dispositivo móvil de un usuario cuando visita un sitio web. Suelen ser anónimos y se utilizan con fines de mantenimiento de registros, pero pueden contener información sobre su visita a un sitio web en particular, como el estado de inicio de sesión, la personalización y las preferencias publicitarias, etc. Las cookies tienen un tiempo de vida predefinido, después del cual no se podrán utilizar y se eliminarán automáticamente. Las cookies pueden ser cookies "persistentes" o de "sesión". El navegador almacenará una cookie persistente y seguirá siendo válida hasta la fecha de caducidad establecida, a menos que el usuario la elimine antes de la fecha de caducidad. Una cookie de sesión, por otro lado, caducará al final de la sesión del usuario cuando se cierre el navegador web. Algunas cookies extremadamente persistentes que pueden persistir después de la eliminación se denominan "Evercookies". Uso de cookies DotForce no utiliza Evercookies. Todas nuestras cookies caducan automáticamente, después de lo cual se eliminarán de su dispositivo. Nuestras cookies no contienen ninguna información que lo identifique personalmente, pero la información personal que almacenamos sobre usted puede ser vinculada, por nosotros, a la información almacenada y obtenida de las cookies. Podemos utilizar la información que obtenemos de su uso de nuestras cookies para los siguientes propósitos. - Para reconocer su computadora cuando visita nuestro sitio web; - Para mejorar la usabilidad del sitio web; - Para analizar el uso de nuestro sitio web; - En la administración de este sitio web; - Cookies de terceros Cuando utiliza nuestro sitio web, también puede recibir cookies de terceros. Nuestros proveedores de servicios pueden enviarle cookies. Pueden usar la información que obtienen de su uso de sus cookies: - Para rastrear su navegador a través de múltiples sitios web; - Para construir un perfil de su navegación web; - Para dirigir anuncios que puedan ser de su interés particular.   Desactivación y/o eliminación de cookies Los navegadores web permiten a los usuarios controlar o eliminar cualquiera o todas las cookies almacenadas en el navegador, esta funcionalidad es común en la mayoría de los navegadores. La mayoría de los navegadores le permiten negarse a aceptar cookies. Por ejemplo: en Internet Explorer puede rechazar todas las cookies haciendo clic en "Herramientas", "Opciones de Internet", "Privacidad" y seleccionando "Bloquear todas las cookies" con el selector deslizante en Firefox puede bloquear todas las cookies haciendo clic en "Herramientas", "Opciones" y desmarcando "Aceptar cookies de sitios" en el cuadro "Privacidad". Sin embargo, bloquear todas las cookies tendrá un impacto negativo en la usabilidad de muchos sitios web. Lista de Cookies Nuestros sitios web y servicios pueden utilizar cualquiera o todas las siguientes cookies: Nombre: _gid Propósito: Esta cookie es utilizada para Google Analytics Tipo: Persistente Duración: 3 Meses  Cookies pasadas y activas Si ha deshabilitado una o más cookies analíticas o de contenido, es posible que aún tengamos información recopilada de cookies que no hayan expirado antes de que se establezca su preferencia deshabilitada. Sin embargo, dejaremos de usar las cookies deshabilitadas para recopilar más información. Una vez que las cookies no caducadas hayan caducado, se eliminarán de su sistema.

Cerrar aviso