Un nuevo informe de Kaspersky desvela tácticas complejas de infección en las variedades de malware DarkGate, Emotet y LokiBot. El cifrado único de DarkGate, junto al regreso de Emotet y la persistencia de LokiBot obligan al sector de la ciberseguridad a evolucionar constantemente.
En junio de 2023 los analistas de Kaspersky descubrieron un nuevo cargador o loader llamado DarkGate con funciones fuera de lo normal. Entre ellas se encuentra el uso de una herramienta VNC (programa que toma el control del ordenador en remoto), el bloqueo de Windows Defender y el robo del historial del navegador y de tokens en Discord. DarkGate se desarrolla en cuatro etapas y lo que diferencia a este loader del resto es que tiene una forma única de cifrar cadenas mediante claves personalizadas. También cuenta con una versión a medida del algoritmo de codificación Base64 que utiliza caracteres especiales.
Los expertos de Kaspersky también analizaron Emotet, una conocida botnet que resurge de sus cenizas tras ser desmantelada en 2021. Utiliza OneNote como principal vector de ataque. Los usuarios que abren los archivos de esta app ejecutan, sin saberlo, un VBScript que inyecta código malicioso (DLL) con instrucciones ocultas.
Kaspersky también ha detectado una campaña de phishing dirigida a empresas de buques de carga a través de LokiBot, descubierto en 2016 y diseñado para el robo de credenciales de navegadores, clientes FTP, etcétera. Se difunde a través de documentos adjuntos en correos electrónicos. Se trata de archivos de Excel que aprovechan una vulnerabilidad conocida (CVE-2017-0199) de Microsoft Office para la descarga de un documento RTF que aprovecha otra vulnerabilidad (CVE-2017-11882) para ejecutar LokiBot.
"El resurgir de Emotet, la actividad de Lokibot y la aparición de DarkGate nos recuerda que las amenazas cibernéticas están en constante evolución. Es crucial para empresas y personas estar siempre alerta e invertir en soluciones de ciberseguridad de confianza. La investigación de Kaspersky en torno a DarkGate, Emotet y Lokibot subraya la importancia de tomar medidas proactivas para protegerse contra las nuevas amenazas cibernéticas", explica Jornt van der Wiel, investigador principal de seguridad del Equipo de Análisis e Investigación Global de Kaspersky.
Para que empresas y personas estén protegidas frente a los ataques de ransomware, Kaspersky recomienda:
Mantener siempre los equipos actualizados para prevenir ataques que explotan vulnerabilidades para infiltrarse en la red
Centrar la estrategia en la detección de movimientos laterales y brechas de datos en internet. Poner especial atención al tráfico saliente para detectar conexiones de los cibercriminales a la red. Realizar copias de seguridad y mantenerlas fuera de conexión. Asegurarse de que estén disponibles en caso de emergencia
Activar la protección frente a ransomware en todos los endpoints. La herramienta gratuita Kaspersky Anti-Ransomware Tool for Business protege servidores y ordenadores de ransomware y otro tipo de malware, combate el uso de exploits y es compatible con otras soluciones de seguridad ya instaladas
Instalar soluciones anti-APT y EDR que permiten detectar e investigar incidentes en fase temprana. Proveer al equipo del SOC de una capacitación profesional constante. Kaspersky Expert Security framework es el aliado perfecto en este sentido
Es importante que el equipo del SOC tenga acceso a la última inteligencia de amenazas. Kaspersky Threat Intelligence Portal provee datos de ciberataques recogidos durante los últimos veinte años. Para ayudar a los negocios a levantar defensas efectivas en tiempos tan turbulentos como los que vivimos, Kaspersky ofrece acceso gratuito a fuentes de información globales, independientes y actualizadas continuamente.