Kaspersky ha descubierto en un reciente análisis, ‘Loki: un nuevo agente privado para el popular framework Mythic’, una nueva versión del backdoor utilizada en ataques dirigidos contra empresas rusas de sectores como la ingeniería y la salud. Este malware se propaga mediante correos de phishing con archivos adjuntos maliciosos y ofrece amplias funcionalidades de control a los ciberatacantes.
Los expertos de Kaspersky han identificado una versión previamente desconocida del backdoor Loki, que se ha utilizado en una serie de ataques dirigidos contra al menos 12 empresas rusas. Los ciberataques ocurrieron en diversas industrias, incluidas ingeniería y salud. El malware, que Kaspersky detecta como Backdoor.Win64.MLoki, es una versión privada del marco de post-explotación de código abierto Mythic.
En este sentido, Loki llega a los dispositivos de las víctimas a través de correos electrónicos de phishing con archivos maliciosos adjuntos que los usuarios desprevenidos se descargan. Una vez instalado, Loki proporciona al ciberatacante amplias capacidades en el sistema comprometido, como gestionar tokens de acceso de Windows, inyectar código en procesos en ejecución y transferir archivos entre el ordenador infectado y el servidor de comando y control.
“La popularidad de los marcos de post-explotación de código abierto está creciendo, y aunque son útiles para mejorar la seguridad de la infraestructura, estamos viendo cómo los ciberatacantes adoptan y modifican cada vez más estos marcos para propagar malware. Loki es el último ejemplo de atacantes que prueban y aplican varios marcos con fines maliciosos, modificándolos para dificultar su detección y atribución”, apunta Artem Ushkov, desarrollador de investigación en Kaspersky.
El agente Loki en sí no admite túneles de tráfico, por lo que los atacantes emplean utilidades de acceso público como ngrok y gTunnel para acceder a segmentos privados de la red. Kaspersky descubrió que, en algunos casos, la utilidad gTunnel fue modificada utilizando goreflect para ejecutar su código malicioso en la memoria del dispositivo objetivo, evitando así la detección. Actualmente, no hay suficientes datos para atribuir Loki a ningún grupo conocido de actores de amenazas. Sin embargo, el análisis de Kaspersky sugiere que los atacantes abordan cuidadosamente cada objetivo de manera individual, en lugar de depender de plantillas estándar de correos electrónicos de phishing.
Para maximizar la seguridad de tu empresa, Kaspersky recomienda:
- No expongas los servicios de escritorio remoto, como RDP, a redes públicas a menos que sea absolutamente necesario, y utiliza siempre contraseñas seguras.
- Asegúrate de que tu VPN comercial y otras soluciones de software del lado del servidor estén siempre actualizadas, ya que la explotación de este tipo de software es un vector común de infección por ransomware. Mantén siempre actualizadas las aplicaciones del cliente.
- Enfoca tu estrategia de defensa en detectar movimientos laterales y exfiltración de datos a Internet. Presta especial atención al tráfico saliente para detectar conexiones cibercriminales. Haz copias de seguridad de los datos regularmente. Asegúrate de poder acceder a ellas rápidamente en caso de emergencia. Utiliza la información más reciente de Threat Intelligence para mantenerte al día sobre las últimas TTP utilizadas por los actores de amenazas.
- Utiliza Managed Detection and Response para ayudar a identificar y detener un ataque en las primeras etapas, antes de que los atacantes logren sus objetivos finales.
- Para proteger el entorno corporativo, forma a tus empleados. Cursos de formación dedicados pueden ayudar, como los proporcionados por Kaspersky Automated Security Awareness Platform.
- Utiliza soluciones de seguridad complejas, que combinen protección de endpoints y funciones de respuesta automática a incidentes, como Kaspersky NEXT.