Informe global de inteligencia sobre amenazas

SmokeLoader, que se descubrió por primera vez en 2011, ha sufrido varias iteraciones y sigue siendo una amenaza prominente utilizada para cargar de todo, desde mineros de criptomonedas, ransomware, troyanos e incluso malware de punto de venta (TPV) en sistemas infectados. Las versiones anteriores de este malware se vendían en foros clandestinos bajo el nombre SmokeLdr, pero desde 2014, solo se vende a actores de amenazas con sede en Rusia. En 2018, SmokeLoader fue el primer malware en utilizar la técnica de inyección de código ^PROPagate2. El malware puede distribuirse a través de una amplia gama de vectores de ataque, incluidos documentos maliciosos relacionados con campañas de phishing masivo a gran escala. En julio de 2022, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry observó que SmokeLoader distribuía una nueva versión de Amadey Bot. Durante este ataque, SmokeLoader estaba oculto en software "crackeado" (también conocido como "cracks") y herramientas de generación de claves (también conocidas como "keygens") para aplicaciones de software populares. La amenaza detrás de la campaña se basó en técnicas de SEO de sombrero ^negro3 (también conocido como envenenamiento SEO) para asegurarse de que sus sitios de malware aparecieran en o cerca de la parte superior de los resultados de los motores de búsqueda relacionados para atraer a las personas que buscan archivos crackeados a descargar y ejecutar el ejecutable malicioso.

Dado que algunas soluciones antivirus pueden bloquear cracks y keygens, algunas personas desactivan intencionadamente sus productos de seguridad antes de descargar estos archivos o ignoran las alertas de detección y proceden a la descarga. Como resultado, incluso las amenazas ampliamente detectadas pueden infectar los sistemas cuando una víctima permite explícitamente la descarga y ejecución del malware.

La RAT Warzone (también conocida como Ave Maria) está a la venta en foros clandestinos y privados. Las completas funciones de Warzone incluyen keylogging, manipulación de procesos, ejecución de comandos, extracción de contraseñas, acceso a cámaras web, configuración de proxy inverso y soporte para descargar y ejecutar archivos adicionales o malware.

Warzone ofrece dos niveles de precios: una suscripción inicial al constructor básico de RAT que comienza en 22,95 dólares al mes, y una versión premium de mayor precio. Diseñada para atraer alos actores de amenazas principiantes de , la versión premium ofrece funciones avanzadas como un rootkit, capacidad de proceso oculto, DNS dinámico premium (DDNS) y asistencia al cliente por aproximadamente 800 USD por una suscripción de tres meses.

Este malware no tiene objetivos específicos y es utilizado por varios ciberdelincuentes y cibergrupos. El trimestre pasado, Warzone se desplegó en una campaña centrada exclusivamente en fabricantes taiwaneses de semiconductores y se distribuyó a través de archivos .RAR maliciosos adjuntos.

DarkCrystal (también conocido como DCRat) fue lanzado por primera vez en 2018 y es uno de los backdoors .NET más baratos disponibles, con precios que van desde alrededor de $ 5 USD por una licencia de dos meses, hasta $ 40 USD por una licencia "de por vida" (que normalmente significa la vida útil del grupo de amenazas). 

Un archivo de configuración incrustado dicta qué funciones se activan al ejecutarse, que pueden incluir, entre otras, capturas de pantalla, keylogging y robo de cookies y contraseñas de navegadores web y portapapeles. El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ^observó7 que DarkCrystal atacaba Ucrania durante el conflicto ruso-ucraniano.

BlackBasta es un grupo de ransomware relativamente nuevo que opera como ransomware como servicio (RaaS) y que fue detectado por primera vez en abril de 2022. Emplea una técnica de doble extorsión: pide un rescate para descifrar los datos de la empresa y cobra tarifas adicionales para evitar que los datos se filtren al público.

BlackBasta utiliza herramientas como Qakbot (también conocido como Qbot) y el exploit PrintNightmare (^{CVE-2021-3452712}) en sus ataques, y cifra los datos de las víctimas con una combinación de ChaCha20 y RSA-4096. La cadena de infección de BlackBasta difiere de un objetivo a otro, y cifra los datos más rápidamente que otros grupos de ransomware. Algunos de los comportamientos de BlackBasta son similares al malware producido anteriormente por el grupo Conti.

El ransomware BlackCat, que apareció por primera vez en noviembre de 2021, fue la primera gran familia de ransomware creada en el lenguaje de programación Rust. (Como se detalla en este informe, Rust ofrece más flexibilidad a los actores de amenazas para compilar binarios cruzados dirigidos a los principales sistemas operativos, ampliando su alcance de objetivos y sistemas potenciales). El grupo ha utilizado la botnet Emotet para distribuir una carga útil de ransomware. Una vez establecido un punto de apoyo, se despliega una baliza Cobalt Strike para permitir a los autores de la amenaza adentrarse en la red objetivo.

BlackCat ha sido prolífico desde su creación, dirigiéndose a numerosas víctimas de alto perfil y utilizando métodos de doble e incluso triple extorsión. Según un aviso del FBI de ²⁰²²¹³, los afiliados del ransomware BlackCat están potencialmente vinculados a dos grupos de amenazas más antiguos: DarkSide y BlackMatter. BlackCat saltó a los titulares en febrero de 2023 tras un ataque a la Universidad Tecnológica de Munster, en Irlanda.

El adware se considera a veces una mera molestia, pero puede ser mucho más dañino. La visualización de los anuncios no deseados se basa en comportamientos maliciosos, como la monitorización de la actividad del usuario, la comunicación con un servidor y la descarga de datos o código adicionales. Por ejemplo, el troyano UpdateAgent despliega el agresivo adware AdLoad. Hemos evitado numerosas infecciones de AdLoad entre nuestros clientes que utilizan dispositivos macOS durante este periodo de notificación.

También identificamos el uso continuado del adware Pirrit. Este malware descarga y lanza scripts y ejecutables adicionales en formato Mach Object File (Mach-O) en la máquina comprometida, que podrían utilizarse para ejecutar código más peligroso.

La popularidad de Linux sigue creciendo. Hasta el 90 por ciento de los servicios de nube ^pública14 funcionan con Linux, y un número significativo de empresas están migrando o planean migrar a servicios en la nube. Además, Linux se utiliza habitualmente en el Internet de las Cosas (IoT). Debido a que Linux no es un sistema operativo de escritorio común en las empresas, la mayoría de las infecciones se basan en técnicas como ataques de fuerza bruta o la explotación de vulnerabilidades de la red y el servidor en lugar de animar a los usuarios a abrir un archivo adjunto infectado. Por estas razones, las organizaciones que dependen de la infraestructura Linux requieren un programa integral de gestión de vulnerabilidades para proteger sus servidores.

Durante este periodo de notificación, la telemetría de BlackBerry descubrió múltiples ataques a Linux que intentaban desplegar mineros criptográficos que, además de consumir recursos del sistema, pueden permitir el despliegue de otros programas maliciosos, como puertas traseras que permiten a los delincuentes el acceso remoto al sistema.

En el periodo del informe también se produjo un aumento del ransomware multiplataforma que puede atacar a varios sistemas operativos. Por ejemplo, el nuevo ransomware Royal puede atacar tanto Linux como Windows y sistemas ESXi.

Los mineros de criptomonedas utilizan los recursos del sistema Linux de la víctima para minar criptomonedas digitales con fines de lucro, una actividad conocida como ^{cryptojacking15}. Los investigadores de BlackBerry detectaron previamente un ataque que utiliza la ^familia de malware Dota316, que ataca servidores SSH que utilizan contraseñas débiles e instala el conocido minero de criptomonedas ^XMRig17. La botnet de mineros de criptomonedas ^Sysrv18, activa desde principios de 2021, está compilada en el lenguaje de programación Go y puede ejecutarse en múltiples sistemas operativos. Sysrv intenta descargar el cargador desde un archivo .sh, lo que indica que el ataque iba dirigido a sistemas Linux. Esta botnet tiene múltiples exploits y mina la criptomoneda Monero utilizando XMRig después de comprometer un sistema.

Un ataque reciente explotó ^{CVE-2022-3591419}, que es una vulnerabilidad en GLPI (un software de gestión de servicios de código abierto utilizado normalmente para gestionar servicios de asistencia y activos de TI). El atacante intentó escalar sus privilegios abusando de PwnKit (^{CVE-2021-403420}). Se encontraron varias instancias de malware en el endpoint de la víctima, incluyendo XMRig y una herramienta DoS conocida como BillGates.

Los primeros ^informes38 de un nuevo brote masivo de ransomware dirigido a servidores VMware ESXi sin parches comenzaron en línea a principios de febrero de 2023. Con origen en ^Francia39 pero propagándose rápidamente por todo el mundo, algunos informes especificaban que cifró varios miles de servidores solo en el primer día de funcionamiento.

La amenaza detrás de este nuevo ransomware explotó una vulnerabilidad de dos años de antigüedad (^{CVE-2021-2197440}) en los servidores VMware ESXi orientados a Internet para entrar y desplegar el ransomware. Las siguientes versiones de ESXi se encontraban entre las susceptibles al ataque:

• Versiones de ESXi 6.5.x anteriores a ESXi650-202102101-SG
• Versiones de ESXi 6.7.x anteriores a ESXi670-202102401-SG
• Versiones de ESXi 7.x anteriores a ESXi70U1c-17325551

Los componentes del ransomware incluían un cifrador de archivos ELF y un script shell encrypted.sh diseñado para coordinar la cadena de ejecución, incluida la ejecución del cifrador.

Tras su ejecución, el malware modificaba el nombre del archivo de configuración de VMX, finalizaba cualquier proceso VMX en ejecución e identificaba y encriptaba los archivos con extensiones .vmx, .vmxf,.vmsd, .nvram y .vmdk. A continuación, el malware borraba los originales.

A continuación, el malware dejaba caer una nota de rescate en la que solicitaba la cantidad aparentemente arbitraria de 2,092716 Bitcoin (BTC), lo que en el momento de los ataques equivalía aproximadamente a 48.000 dólares estadounidenses. Según la nota, los datos quedarían expuestos públicamente si no se pagaba al actor de la amenaza en un plazo de tres días.

El proveedor publicó un parche para la vulnerabilidad CVE-2021-21974 dos años antes, en febrero de 2021. Este ataque pone de relieve la importancia crítica de los programas de gestión de parches actualizados, y demuestra que los sistemas basados en Linux son vulnerables a los ataques y se están convirtiendo en un objetivo cada vez más atractivo para los actores de amenazas.

A mediados de febrero, el Instituto Tecnológico Technion de Israel fue atacado por una nueva cepa de ransomware llamada DarkBit. El autor de la amenaza parecía tener motivaciones geopolíticas, y la nota de rescate contenía mensajes antigubernamentales y antiisraelíes, así como comentarios sobre los despidos tecnológicos que se estaban produciendo en ese momento.

El ransomware estaba escrito en Golang y, utilizando un vector de infección desconocido, desplegó un archivo de configuración incrustado con parámetros específicos para que el malware siguiera, incluyendo qué tipos de archivos excluir del cifrado, la nota de rescate e instrucciones para dividir archivos más grandes para el cifrado segmentado.

El malware también podía ejecutarse utilizando opciones de línea de comandos para un flujo de ataque personalizado, incluido el multithreading opcional para una rutina de cifrado más rápida. Tras su ejecución, el malware ejecutaba la siguiente llamada:

- "vssadmin.exe delete shadow /all /Quiet"

Este comando eliminaba las instantáneas, obstaculizaba los esfuerzos de recuperación y localizaba los tipos de archivos objetivo en el equipo host, que luego se cifrarían con AES-256 y se les añadiría la extensión .Darkbit.

En todos los directorios afectados se dejó caer una nota de rescate titulada RECOVERY_DARKBIT.txt con instrucciones sobre cómo pagar el rescate, que se fijó en 80 BTC, equivalentes a 1.869.760 USD en el momento del ataque. La nota indicaba que se añadiría una penalización del 30% si no se pagaba el rescate en 48 horas, y que se filtrarían los datos si no se pagaba en cinco días.

La redacción de la nota de rescate y comentarios similares en las redes sociales y el sitio web del autor de la amenaza sugieren que el ataque fue obra de un empleado descontento, un grupo de empleados o hacktivistas.

El equipo de Investigación e Inteligencia de Amenazas de Blackberry ha publicado recientemente hallazgos sobre NewsPenguin, un actor de amenazas desconocido hasta ahora que se dirige a organizaciones con sede en Pakistán con señuelos de phishing personalizados.

Los señuelos giraban en torno a la Exposición y Conferencia Marítima Internacional de Pakistán, que se celebraba del 10 al 12 de febrero de 2023, y contenían adjunto un documento de Word armado que se disfrazaba de manual del expositor de la conferencia. El documento utilizaba una técnica de inyección remota de plantillas y macros maliciosas incrustadas para recuperar la siguiente etapa de la cadena de infección, que en última instancia conducía a una carga útil final, updates.exe.

Esta herramienta de espionaje, hasta ahora indocumentada, contiene una amplia gama de funciones antianálisis, antisandbox y de robo de información, entre las que se incluyen:

• Comprobación del tamaño del disco duro host
• Determinar si el host tiene más de 10 GB de RAM
• Uso de GetTickCount para identificar el tiempo de actividad
• Determinar si funciona en un entorno aislado o en una máquina virtual

Tras la instalación, el malware se registra y registra el host infectado en un servidor C2 codificado mediante un identificador de cadena de 12 caracteres. A continuación, el host puede recibir instrucciones del atacante en forma de una serie de comandos integrados. Los comandos incluyen la capacidad de:

• Identificar y enumerar la información sobre procesos y hosts
• Identificar y copiar, eliminar, mover y/o modificar archivos y directorios en el host.
• Ejecutar ejecutables portátiles
• Terminar procesos (incluido él mismo)
• Cargar (exfiltrar) los archivos de la víctima y descargar archivos que podrían incluir malware adicional.

Como técnica de evasión adicional, el malware espera exactamente cinco minutos entre la emisión de comandos. Esto puede ayudar a minimizar el ruido asociado a sus comunicaciones C2 y a pasar desapercibido para los mecanismos de seguridad y detección.

Dado que el acto en cuestión estaba organizado por la Marina de Pakistán y se centraba en tecnologías marinas y militares, es posible que la motivación de este nuevo actor de la amenaza fuera más el robo de información o el espionaje que la financiación. Seguiremos rastreando y vigilando las actividades de este grupo.

Gamaredon (también conocido como ACTINIUM) es un grupo APT ruso patrocinado por el Estado y públicamente atribuido que ha tenido como objetivo a personas y entidades ucranianas durante una década.

A principios de año, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry publicó los resultados de una nueva campaña de Gamaredon en la que el grupo utilizó la popular aplicación de mensajería Telegram como parte de una cadena de ejecución de varias etapas. El uso de Telegram ayudó a que las actividades de la campaña se mezclaran con el tráfico normal de la red y pasaran desapercibidas.

El vector de infección de la campaña era una serie de señuelos de phishing muy selectivos con documentos adjuntos armados escritos en ruso y ucraniano que estaban diseñados para parecer que procedían de agencias gubernamentales ucranianas reales. Los documentos empleaban técnicas de inyección remota de plantillas, como la explotación de ^{CVE-2017-019941}, que permite la ejecución de código a través de archivos de Word infectados. Cuando se abre un documento malicioso, comienza la siguiente fase del ataque.

Se utilizó Geofencing para garantizar que sólo se vieran afectados los objetivos con direcciones IP de Ucrania. Si se confirmaba que el objetivo estaba en Ucrania, se descargaba un script que se conectaba a una cuenta de Telegram codificada que conducía a una nueva dirección IP maliciosa. Cada cuenta de Telegram desplegaba periódicamente una nueva dirección IP para construir una nueva URL, que serviría la siguiente carga útil. Esta estructura permitía al grupo actualizar dinámicamente su infraestructura, al tiempo que resultaba difícil de detectar por los mecanismos de seguridad tradicionales.

Rastreamos la actividad de la campaña hasta un nodo que operaba desde Crimea y determinamos que ha estado activo al menos desde la primavera de 2022.

A finales de febrero de 2023, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry fue testigo de una nueva campaña que se atribuye con un grado de confianza moderado al grupo de amenazas sudamericano Blind Eagle (^APT-C-3642). Blind Eagle ha estado activo desde 2019, apuntando a industrias en Colombia, Ecuador, Chile y España.

El objetivo general de la campaña era lanzar y desplegar el malware AsyncRAT. El grupo se hace pasar por diferentes organizaciones gubernamentales, especialmente agencias tributarias. El ataque inicial suele comenzar cuando una víctima cae en un enlace de phishing creíble que inicia una elaborada cadena de ejecución de varias partes.

Durante las campañas de Blind Eagle, se abusó de la red de distribución de contenidos de la popular plataforma social Discord para alojar malware (las funciones de Discord han sido utilizadas como arma por muchos actores de amenazas y grupos de ciberdelincuencia).

Durante el periodo del informe, LockBit fue el proveedor de RaaS más activo: solo en enero, 50 de los 165 ataques de ransomware ^conocidos44 fueron atribuibles a LockBit. Entre los ataques más destacados se encuentran los siguientes:

• El 18 de diciembre de 2022, el grupo atacó el Hospital for Sick Children (también conocido como SickKids). Dos semanas después del ataque, LockBit afirmó que un miembro había infringido sus normas al atacar una institución sanitaria, se disculpó y lanzó un descifrador gratuito. Durante esas dos semanas, se retrasaron los análisis y las imágenes de los pacientes, se inutilizaron las líneas telefónicas y se cerró el sistema de nóminas del personal.
• El 25 de diciembre de 2022, el grupo lanzó un ataque contra la Administración Portuaria de Lisboa (APL), uno de los mayores puertos de Portugal.
• El 27 de enero de 2023, ^{investigadores45} compartieron información sobre una nueva variante llamada LockBit Green. Poco después, otros investigadores determinaron que la nueva variante utiliza código fuente filtrado basado en Conti.
• A principios de febrero, el grupo de ransomware afirmó estar detrás de un ataque a Royal Mail (el servicio postal multinacional británico) y declaró que los datos se publicarían en su sitio de filtraciones. El sitio de filtraciones se puso en marcha el 23 de febrero de 2023, y los datos seguían estando disponibles públicamente a finales de marzo de 2023.
  

En el pasado, los actores de amenazas distribuían con frecuencia documentos de ^Microsoft® Office que contenían macros infectadas que se ejecutaban automáticamente cuando la víctima abría el documento. A mediados de 2022, Microsoft desactivó la ejecución automática de macros de Office, lo que redujo el éxito de estos ataques. Como resultado, los actores de amenazas buscaron nuevas formas de explotar el popular software de trabajo.

En este periodo se ha observado un aumento del uso de archivos adjuntos de ^{Microsoft® OneNote46} (una aplicación digital de toma de notas del paquete Office ^365® ) para distribuir malware y ransomware. Los atacantes añaden archivos adjuntos de OneNote que contienen cargas útiles como ejecutables de Windows, archivos por lotes, scripts de Visual Basic o archivos de aplicaciones HTML a campañas de phishing y mal spam.

Cuando una víctima abre un archivo adjunto malicioso de OneNote, se produce la siguiente etapa de la infección, que suele consistir en la descarga y despliegue de malware de uso común. Entre los actores de amenazas conocidos por abusar de los adjuntos de OneNote se encuentran Agent Tesla, AsyncRAT, IcedID, FormBook, RemcosRAT, RedLine y Qakbot, entre otros.

Nuestro pronóstico:

Una característica clave de la invasión rusa de Ucrania ha incluido ciberataques contra la infraestructura militar y civil ucraniana. Si las hostilidades continúan, es probable que veamos repetirse este patrón de ciberataques selectivos.

Resultado:

Mientras prosigue el conflicto en Ucrania, también continúan los ataques contra las infraestructuras críticas digitales y físicas de la región. En una reunión celebrada en noviembre de ²⁰²²⁴⁸ con los ministros de Energía de la UE, el ministro ucraniano de Energía, German Galushchenko, sugirió que grandes partes de la infraestructura civil habían sido dañadas o destruidas y que los ataques no han cesado.

Nuestro pronóstico:

Las operaciones de ransomware, incluidos los ataques dirigidos a hospitales y organizaciones médicas, continuarán, especialmente en los países que apoyan o proporcionan financiación a Ucrania.

Resultado:

Los ataques de ransomware continuaron este trimestre, aunque no están claros los motivos que no sean financieros. El destacado grupo de ransomware LockBit estuvo activo durante este periodo y puede haber atacado a un total de más de 1.500 víctimas. El grupo no parece tener reparos en atacar a organizaciones sanitarias y médicas, y entre las víctimas se encuentran proveedores de atención sanitaria con sede en Estados Unidos.

También han aumentado los ataques de los operadores del ransomware BlackCat, dirigidos sobre todo a víctimas radicadas en Estados Unidos. Además, el ransomware ESXiArg, que afectó a cientos de sistemas vulnerables sin parches, fue motivo de preocupación durante este periodo.

Nuestro pronóstico:

Los ciberataques a infraestructuras críticas continuarán. Es posible que la IA se utilice cada vez más no solo para automatizar ataques, sino también para desarrollar ataques deepfake avanzados.

Resultado:

Las infraestructuras críticas siempre serán un objetivo para los actores de amenazas con motivaciones financieras y políticas, y el uso de deepfakes en el panorama general de las amenazas ha ganado una tracción significativa. El equipo de Investigación e Inteligencia de Amenazas de BlackBerry ha observado complejas estafas con criptomonedas que aprovechan las deepfakes y estratagemas similares para promocionar software crackeado con malware.

A medida que continúe el conflicto, también continuarán los ciberataques contra Ucrania. El Centro Estatal de Ciberprotección de Ucrania informó de un aumento de casi el triple en los ^{ciberataques49} a lo largo de 2022 con respecto al año anterior, con un aumento significativo del ^26%50 en los ataques originados desde direcciones IP con sede en Rusia.

En enero de 2023, ESET documentó un nuevo malware wiper apodado SwiftSlicer, atribuido al infame Sandworm Group. Este malware compilado en Golang es el último de una larga ^serie51 de wipers y destruye datos cuando se despliega en una red objetivo.

Dado que los ciberataques son un elemento bien ^{documentado52} de las campañas militares rusas, es probable que continúen los ataques contra Ucrania.

El chatbot interactivo de IA ^ChatGPT53 se lanzó en todo el mundo en noviembre de 2022. Los primeros ^informes54 de ciberdelincuentes probando y discutiendo su potencial para el fraude y la creación de cepas básicas de malware comenzaron en diciembre de 2022. En enero de 2023, los ^{investigadores55} demostraron que ChatGPT podía ayudar a escribir código malicioso complejo con capacidades polimórficas.

A medida que los bots basados en IA, como ChatGPT, se vuelven más avanzados y más comunes, es inevitable que se abuse de sus capacidades con fines maliciosos. La defensa frente a estas amenazas crecientes requiere capacidades de prevención y detección, así como una inteligencia de amenazas eficaz.

Los ataques de malware de productos básicos contra las industrias manufacturera y sanitaria dominaron nuestra telemetría en este periodo de información. Estos ladrones de información de productos básicos se utilizaron como herramienta para el robo de datos y para obtener credenciales de acceso con el fin de facilitar las intrusiones en la red. Este tipo de acceso se vende con frecuencia a través de servicios IAB, y los registros de los ladrones de información suelen venderse en mercados clandestinos. En muchos casos, el éxito de las intrusiones dio lugar a ataques posteriores, como el despliegue de ransomware, que amplifican el impacto de la intrusión inicial.

A pesar del aumento de los esfuerzos en materia de seguridad, los ciberataques dirigidos a los socios de la cadena de suministro seguirán siendo una amenaza importante durante los próximos tres meses. Aunque todas las industrias corren el riesgo de sufrir ataques en la cadena de suministro, la industria manufacturera es un objetivo especialmente atractivo para los actores de amenazas con motivaciones financieras y los actores patrocinados por el Estado, debido a sus activos financieros, patentes y otra propiedad intelectual.

Los recientes ataques de ransomware dirigidos a las cadenas de suministro de la industria del automóvil demuestran el impacto potencial de estos ataques en la industria manufacturera en su conjunto. Las interrupciones de la cadena de suministro afectan no solo a la empresa atacada, sino a todas las demás organizaciones y sistemas de la cadena de valor de la industria.

Esperamos que continúen los ataques a la cadena de suministro, así como el uso de los IAB para facilitar el despliegue de ransomware.