2 de noviembre de 2022

En un último informe sobre crimeware, los expertos de Kaspersky han analizado AdvancedIPSpyware. Se trata de una versión de la herramienta original Advanced IP Scanner, utilizada por los administradores de red para controlar las redes de área local (LAN). La herramienta maliciosa afectó a un gran número de víctimas en América Latina, África, Europa Occidental, el sur de Asia, Australia y los países de la Comunidad de Estados Independientes (CEI). 

Añadir código malicioso a un software inofensivo para ocultar su actividad dañina y engañar al usuario es una técnica muy común. Lo que no es tan frecuente es que el binario backdoored, vulnerabilidad de sistema operativo, página web o app que puede convertirse en entrada para hackers, crackers, o gusanos, esté debidamente firmado. Este es el caso de AdvancedIPSpyware, que es una versión backdoored de la herramienta real Advanced IP Scanner, utilizada por los administradores de redes para controlar las LAN. El certificado con el que se firmó el malware probablemente era robado. El malware estaba alojado en dos sitios, cuyos dominios son casi idénticos a los del sitio web legítimo de Advanced IP Scanner, diferenciándose sólo por una letra. Además, las webs tienen el mismo aspecto. La única diferencia es el botón de «descarga gratuita» en los sitios web maliciosos.

Otra característica poco común de AdvancedIPSpyware es que su arquitectura es modular. Normalmente, la arquitectura modular se ve en el malware financiado por algún Estado, no en el de criminales. Sin embargo, en este caso los ataques no fueron dirigidos, lo que lleva a la conclusión de que AdvancedIPSpyware no procede de ninguna campaña política.

AdvancedIPSpyware tiene una amplia victimología con usuarios afectados en América Latina, África, Europa Occidental, el sur de Asia, Australia y los países de la CEI. El número total de víctimas infectadas a través de la campaña es de unas 80. Además de AdvancedIPSpyware, el informe sobre crimeware publicado en Securelist incluye las siguientes conclusiones:

• BlackBasta, un grupo de ransomware descubierto a principios de julio de 2022, añadió una funcionalidad que dificulta el análisis forense y la detección, ya que el malware puede propagarse a través de la propia red.
• Los analistas han observado nuevas características de CLoader, un ladrón descubierto por primera vez en abril de 2022. Utilizaba juegos y software crackeados como cebo para engañar a los usuarios y hacer que instalaran el malware. Los archivos descargados eran instaladores NSIS, que contenían código malicioso en el script de instalación.
• En agosto de 2022, se descubrió una campaña que ha estado activa al menos desde enero de ese año y que se centra en personas de habla china. En un popular canal de YouTube en chino, centrado en el anonimato en Internet, se subió un vídeo en el que se daban instrucciones sobre cómo instalar el navegador Tor. Esto en sí no es tan extraño, ya que el navegador Tor está bloqueado en China. Sin embargo, si un usuario hace clic en el enlace de la descripción, en lugar del navegador Tor auténtico, se descarga una versión infectada.

«El correo electrónico es el método de infección más común utilizado tanto por los ciberdelincuentes como por los Estados. Esta vez echamos un vistazo a las técnicas menos comunes empleadas por los ciberdelincuentes, tanto las más conocidas como las que han pasado desapercibidas. En concreto, el AdvancedIPSpyware destaca por su inusual arquitectura, el uso de una herramienta legítima y una copia casi idéntica del sitio web legítimo», comenta Jornt van der Wiel, experto en seguridad de Kaspersky.

Para protegerte a ti y a tu empresa de los ataques de ransomware, Kaspersky recomienda:

• No exponer los servicios de escritorio remoto (como RDP) a las redes públicas a menos que sea absolutamente necesario y siempre utilizar contraseñas fuertes para ellos.
• Instalar inmediatamente los parches disponibles para las soluciones comerciales de VPN, que proporcionan acceso a los empleados remotos y actúan como puertas de enlace en la red.
• Mantener siempre el software actualizado en todos los dispositivos que se utilicen para evitar que el ransomware aproveche las vulnerabilidades.
• Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. Prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
• Hacer copias de seguridad de los datos con frecuencia. Asegurarse siempre de poder acceder rápidamente a ellos en caso de emergencia cuando se necesiten.
• Utilizar soluciones como Kaspersky Endpoint Detection and Response Expert y el servicio Kaspersky Managed Detection and Response, que ayudan a identificar y detener los ataques durante las primeras etapas, antes de que los atacantes alcancen sus objetivos finales.
• Educar a sus empleados para proteger el entorno corporativo. Los cursos de formación dedicados pueden ayudar, como los que se ofrecen en la Plataforma de Concienciación de Seguridad Automatizada de Kaspersky.
• Utilizar una solución de seguridad para endpoints fiable, como Kaspersky Endpoint Security for Business, que cuenta con prevención de exploits, detección de comportamientos y un motor de remediación capaz de revertir las acciones maliciosas. KESB también cuenta con mecanismos de autodefensa, que pueden evitar su eliminación por parte de los ciberdelincuentes.
• Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de los TTPs reales utilizados por los delincuentes. El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para la TI de Kaspersky, que proporciona datos de ciberataques y perspectivas recopiladas por nuestro equipo durante casi 25 años. Para ayudar a las empresas a habilitar defensas efectivas en estos tiempos turbulentos, Kaspersky ha anunciado el acceso a información independiente, constantemente actualizada y de origen global sobre los ciberataques y amenazas en curso, sin coste alguno.