¿Qué son los ladrones de información?
Los infostealers son una clase de software malicioso diseñado para recopilar y filtrar datos de sistemas o redes sin el consentimiento del usuario. Estos programas sigilosos, a menudo impulsados por motivos financieros o delictivos, tienen como objetivo exfiltrar información confidencial, lo que plantea riesgos importantes tanto para individuos como para organizaciones.
El primer ladrón de información moderno observado se remonta a principios de 2007 y se conocía como ZeuS o Zbot . El principal objetivo del malware era robar credenciales bancarias online y rápidamente se convirtió en uno de los troyanos bancarios más extendidos y sofisticados jamás vistos. En 2011, el código fuente se hizo público, lo que provocó la proliferación de numerosas variantes nuevas.
A lo largo de los años, los avances tecnológicos y la economía sumergida han facilitado el desarrollo y la proliferación de nuevas variantes de ladrones de información, y los ciberdelincuentes mejoran continuamente sus tácticas para evadir la detección y maximizar sus ganancias. Hoy en día, los ladrones de información siguen siendo una amenaza potente y frecuente, que plantea graves riesgos para personas, empresas y organizaciones de todo el mundo.
Cada vez más, los ladrones de información se utilizan como punto de entrada en ciberataques sofisticados, lo que subraya su papel como vector de amenaza fundamental en el cibercrimen moderno.
La función principal de un ladrón de información es recopilar clandestinamente información confidencial de las víctimas mediante diversas técnicas, como enumerar archivos y directorios, registrar pulsaciones de teclas, extraer datos del navegador, acceder a archivos, copiar cookies y tomar capturas de pantalla. Luego, los datos robados se transmiten a un servidor de comando y control controlado por el atacante.
Como es común con el malware moderno, los ladrones de información han pasado a un modelo de malware como servicio (MaaS). Esto facilita que los atacantes con experiencia mínima en atacar empresas utilicen dichos servicios para infiltrarse en los sistemas y extraer información, a menudo en formato de registros. Posteriormente, estos registros se venden en foros clandestinos y mercados criminales en la web oscura.
Datos a los que se dirigen con mayor frecuencia los ladrones de información :
- Información de configuración del sistema
- Credenciales de cuenta
- Datos del navegador como cookies y datos de extensión.
- Tarjetas de crédito
- Carteras criptográficas
- Información de autocompletar
Los ladrones de información se distribuyen a través de varios canales, incluidos el phishing, el phishing extendido y la publicidad maliciosa. Además, los métodos de distribución poco comunes incluyen envenenamiento de SEO, software falso y publicaciones públicas en redes sociales.
Canales de distribución comunes
Phishing : este es un método común para distribuir varias familias de malware; generalmente los ciberdelincuentes envían documentos como archivos PDF, HTML o de MS Office que contienen cargas útiles maliciosas o enlaces URL camuflados para descargar los artefactos. Para intentar evadir la detección, los archivos suelen cifrarse con contraseñas, lo que dificulta a los proveedores de correo electrónico escanear en busca de contenido malicioso.
Instrumentación de software legítimo : este es un vector de infección clásico, los usuarios pueden infectarse fácilmente al instalar software ilegítimo. Las versiones modificadas suelen albergar código malicioso incrustado, lo que las convierte en un riesgo importante para los usuarios inexpertos.
Malversiting : esta tendencia comenzó en 2017 y actualmente está en aumento: los actores maliciosos distribuyen cargas útiles maliciosas a través de algunas páginas de alto rango, a menudo haciéndose pasar por actualizaciones de software popular, como Google Chrome.
La siguiente es la topología de Redline Stealer, un típico ladrón de información moderno. Dirigido por Jiho Kim.
Muchas bandas de ransomware ahora también utilizan técnicas de “doble extorsión”. En este caso, a las víctimas se les ofrecen dos “incentivos”: en primer lugar, aceptar el pago de la extorsión para recuperar el acceso a los sistemas y datos de los que se les ha bloqueado. Además, los piratas informáticos devolverán información confidencial que ya han robado, posiblemente aceptando una tarifa adicional.
El FBI , junto con varias agencias gubernamentales de EE. UU., tanto estatales como nacionales, desaconsejan el pago de rescates para desalentar el ciclo del ransomware . Por lo general, la mitad de las víctimas de ransomware que pagan el rescate vuelven a ser atacadas, ya que los ciberdelincuentes saben que estas empresas están dispuestas a desembolsar el dinero.
¿Qué es el malware precursor de ransomware?
Análisis de información robada
La información recopilada por los ladrones de información se centra en objetivos específicos. Por un lado, su objetivo es adquirir datos sensibles como credenciales de portales bancarios, billeteras de criptomonedas, detalles de cuentas de correo electrónico, credenciales de redes sociales o cualquier información que pueda ser explotada para un uso indebido en el futuro. Por otro lado, los Infostealers también recopilan detalles técnicos sobre el sistema comprometido, incluidas cookies de sesión, UserAgents, especificaciones de la máquina y archivos de registro. Estos conocimientos técnicos permiten a los atacantes simular el entorno de las cuentas objetivo, evadiendo medidas de seguridad e intentando acceso no autorizado sin restricciones ambientales.
A continuación se muestra un ejemplo de información robada por un ladrón de información MaaS real.
La mayoría de los ladrones de información poseen la capacidad de identificar múltiples portales de inicio de sesión y extraer credenciales. Posteriormente, formatean esta información en registros estructurados, empleando diversas técnicas para transmitirlos a la infraestructura adversaria (Exfiltración). Esto permite a los atacantes acceder y explotar fácilmente la información confidencial recopilada de los sistemas comprometidos.
Los ladrones de información y la economía del cibercrimen
Detrás del robo de información se esconde un intrincado ecosistema cibercriminal con diversos roles y niveles de ganancias. Los investigadores de SecureWorks identifican al menos cuatro niveles:
Desarrolladores y expertos en información: encargados de crear programas para robar datos y evadir medidas de ciberseguridad. Este nivel se nutre de la demanda del mercado de características específicas adaptadas a los objetivos.
Mercados criminales: el segundo nivel, también conocido como Corredores de acceso inicial (IAB), opera en foros de la web oscura y ofrece servicios y acceso que van desde $ 50 a $ 1000 USD, según el tipo de ladrón de información. Los clientes, normalmente actores maliciosos que aprovechan el conocimiento específico de la industria, utilizan este acceso inicial para ataques sofisticados como Ransomware. El auge del ransomware como servicio (RaaS) ha aumentado la importancia de los IAB, ya que agilizan la recopilación y el reconocimiento de inteligencia y permiten a los atacantes iniciar ataques con un vector inicial sólido.
Infraestructura de soporte oscuro: estos servicios de soporte offshore están dedicados a mantener el anonimato de los ciberdelincuentes. En los últimos Modelos como Servicio (MaaS), esta infraestructura es administrada por los propios propietarios de los servicios de malware.
Víctimas: En última instancia, las víctimas de este tipo de ataques, bajo la presión de diversos factores, sucumben al pago de rescates a bandas criminales. Este pago se realiza para evitar la publicación de datos confidenciales o descifrar información crucial esencial para la continuidad del negocio. Sin saberlo, estas acciones contribuyen a la perpetuación del ciclo económico criminal.
Existen varios foros que venden información en la web oscura, como 2easy, BidenCash y Russian Market . También existe una tendencia reciente a vender esa información en tiendas descentralizadas y plataformas de redes sociales como Telegram y otras.
Mercado monetario de Biden
Telegram BerkserkLogs Market
Se ha visto a varios actores de amenazas utilizando agentes de acceso inicial para comprometer redes y realizar ataques a gran escala, como Lockbit 3.0, Royal Ransomware , BlackHunt, Medusa y otros.
¿Su red ha sido comprometida por InfoStealers?
Los actores de amenazas escanean constantemente Internet en busca de nuevos objetivos. Cuanta más información posean sobre una empresa, mayores serán sus posibilidades de infiltrarse en la infraestructura. Medidas de seguridad débiles para disminuir la superficie de ataque, lo que permite a los atacantes identificar y explotar vulnerabilidades sin esfuerzo. Además, la facilidad para adquirir credenciales o acceder a entornos facilita las actividades ilícitas, lo que permite a los actores maliciosos operar con facilidad.
En la actualidad, varias empresas desconocen que varias de las credenciales de sus empleados se venden en la web oscura. Silenciosamente, los atacantes tienen la clave para iniciar ataques a gran escala.
Observe la actividad de su red
La Evaluación de compromiso continuo de Lumu le permite identificar cuándo, dónde y cómo su infraestructura se comunica con los adversarios; obtiene la visibilidad que necesita de lo que sucede en cualquier momento en su red. El sólido proceso de inteligencia sobre amenazas cibernéticas le proporciona información crucial para salvaguardar su infraestructura y mitigar eficazmente las amenazas en múltiples etapas de la cadena de infección.
Lumu rastrea la infraestructura maliciosa que distribuye, comunica o controla malware, phishing, spam, publicidad maliciosa y diferentes tipos de amenazas y técnicas, y alerta a su empresa cuando el enemigo llama a su puerta.
Mapa Mitre del malware Infostealer
| Táctica | Técnica |
| Reconocimiento | T1589 Recopilar información de identidad de la víctima |
| Reconocimiento | T1598 Phishing para información |
| Desarrollo de recursos | T1583.001 Adquirir Infraestructura: Dominios |
| Desarrollo de recursos | T1585.001 Establecer cuentas: cuentas de redes sociales |
| Acceso inicial | T1566: Phishing |
| Acceso inicial | T1204.002: Archivo malicioso |
| Acceso inicial | T1189 Compromiso de paso |
| Acceso inicial | T1199: Relación de confianza |
| Acceso inicial | T1078.002 Cuentas Válidas: Cuentas de Dominio |
| Ejecución | T1059.003: Shell de comandos de Windows |
| Ejecución | T1059.001: PowerShell |
| Ejecución | T1648 Ejecución sin servidor |
| Ejecución | T1204 Ejecución de usuario |
| persistencia | T1136 Crear cuenta |
| Escalada de privilegios | T1484.002 Modificación de la política de dominio |
| Evasión de defensa | T1564.001: Archivos y directorios ocultos |
| Evasión de defensa | T1070.004 Eliminación del archivo de eliminación del indicador |
| Evasión de defensa | T1578.002 Modificar la infraestructura de computación en la nube |
| Evasión de defensa | T1497.001 Verificaciones del sistema |
| Acceso a credenciales | T1555.003: Credenciales de navegadores web |
| Acceso a credenciales | Eliminación del indicador T1555Eliminación de archivos |
| Acceso a credenciales | T1606 Forjar credenciales web |
| Acceso a credenciales | T1621 Generación de solicitud de autenticación multifactor |
| Acceso a credenciales | T1552 Credenciales no seguras: Credenciales en archivos |
| Descubrimiento | T1087: Descubrimiento de cuenta |
| Descubrimiento | T1217: Descubrimiento de información del navegador |
| Descubrimiento | T1046: Descubrimiento de servicios de red |
| Descubrimiento | T1057: Descubrimiento de procesos |
| Descubrimiento | T1012: Registro de consultas |
| Descubrimiento | T1518: Descubrimiento de software |
| Descubrimiento | T1016: Descubrimiento de la configuración de la red del sistema |
| Descubrimiento | T1614: Descubrimiento de ubicación del sistema: Descubrimiento del idioma del sistema |
| Descubrimiento | T1083: Descubrimiento de archivos y directorios |
| Descubrimiento | T1082: Descubrimiento de información del sistema |
| Descubrimiento | T1033: Descubrimiento de usuario/propietario del sistema |
| Descubrimiento | T1538: Panel de control del servicio en la nube. |
| Descubrimiento | T1018: Descubrimiento remoto del sistema |
| Descubrimiento | T1539: Robar cookie de sesión web |
| Recopilación | T1113: Captura de pantalla |
| Recopilación | T1119: Colección automatizada |
| Recopilación | T1115: Datos del portapapeles |
| Recopilación | T1005: Datos del sistema local |
| Recopilación | T1056.001: Registro de teclas |
| Comando y control | T1102: Servicio web |
| Comando y control | T1102.002: Comunicación bidireccional |
| Exfiltración | T1041: Exfiltración por el canal de comando y control |
| Exfiltración | T1020: Exfiltración automatizada |
| Exfiltración | T1048: Exfiltración sobre protocolo alternativo |
Revisa tus dispositivos
Es fundamental contar con herramientas de monitoreo para realizar un seguimiento de los servicios de su dispositivo y detectar cualquier comportamiento sospechoso con prontitud. Si su empresa dispone de un EDR, es fundamental mantenerlo actualizado.
Protección contra los ladrones de información
Los operadores de ciberseguridad que buscan protegerse contra la amenaza que representan los ladrones de información pueden tomar las siguientes acciones:
- Establezca una estrategia efectiva para el monitoreo continuo de la actividad de la red y los endpoints para detectar cualquier actividad sospechosa.
- Asegúrese de que cualquier comunicación entre su red y la infraestructura adversa esté bloqueada. Con las más de 125 integraciones de Lumu , cualquier contacto detectado se bloquea inmediatamente utilizando la infraestructura de ciberseguridad existente.
- Haga cumplir el principio de privilegio mínimo para garantizar que los usuarios tengan acceso a servicios y permisos para sus funciones laborales y nada más.
- No exponga servicios innecesarios. Se recomienda a los usuarios que deshabiliten sus protocolos de escritorio remoto (RDP) si no están en uso; si es necesario, deben colocarse detrás del firewall y los usuarios deben vincularse con las políticas adecuadas mientras usan un RDP.
- Conozca si hay credenciales comprometidas.
- Familiarizar a los empleados con un procedimiento adecuado para abrir documentos digitales.
- Ajuste sus defensas contra el spam
- Establezca un marco de políticas de remitente (SPF) para su dominio.
Conclusión
El sigilo y la sofisticación del malware de robo de información presentan un peligro claro y presente para la ciberseguridad global. Originalmente diseñados para el robo de datos, los ladrones de información ahora brindan a los ciberadversarios una potente herramienta para el acceso inicial, preparando así el escenario para ataques más devastadores. Las organizaciones deben priorizar la detección y mitigación de los ladrones de información como parte de una estrategia integral de ciberseguridad. Si permanecemos alerta, monitoreamos continuamente las actividades sospechosas y empleamos mecanismos avanzados de detección y respuesta a amenazas, podemos reducir significativamente el riesgo que representan estas amenazas silenciosas.
Adopte estrategias para minimizar su superficie de ataque
Este adversario silencioso se aprovecha de cualquier información involuntaria divulgada por las empresas. Todo servicio que las empresas exponen a Internet debe pasar por un análisis de riesgos. Las empresas deben adoptar estrategias para evaluar su infraestructura expuesta y determinar su necesidad en términos de operaciones comerciales. El acceso debe restringirse utilizando métodos de privilegio mínimo en sus redes y sistemas de autenticación.
El adversario intentará comunicarse con tu infraestructura y debes estar preparado para detectarlo.
Revisa tus dispositivos
Es fundamental contar con herramientas de monitoreo para realizar un seguimiento de los servicios de su dispositivo y detectar cualquier comportamiento sospechoso con prontitud. Si su empresa dispone de un EDR, es fundamental mantenerlo actualizado.
Protección contra los ladrones de información
Los operadores de ciberseguridad que buscan protegerse contra la amenaza que representan los ladrones de información pueden tomar las siguientes acciones:
- Establezca una estrategia efectiva para el monitoreo continuo de la actividad de la red y los endpoints para detectar cualquier actividad sospechosa.
- Asegúrese de que cualquier comunicación entre su red y la infraestructura adversa esté bloqueada. Con las más de 125 integraciones de Lumu , cualquier contacto detectado se bloquea inmediatamente utilizando la infraestructura de ciberseguridad existente.
- Haga cumplir el principio de privilegio mínimo para garantizar que los usuarios tengan acceso a servicios y permisos para sus funciones laborales y nada más.
- No exponga servicios innecesarios. Se recomienda a los usuarios que deshabiliten sus protocolos de escritorio remoto (RDP) si no están en uso; si es necesario, deben colocarse detrás del firewall y los usuarios deben vincularse con las políticas adecuadas mientras usan un RDP.
- Conozca si hay credenciales comprometidas.
- Familiarizar a los empleados con un procedimiento adecuado para abrir documentos digitales.
- Ajuste sus defensas contra el spam
- Establezca un marco de políticas de remitente (SPF) para su dominio.
Conclusión
El sigilo y la sofisticación del malware de robo de información presentan un peligro claro y presente para la ciberseguridad global. Originalmente diseñados para el robo de datos, los ladrones de información ahora brindan a los ciberadversarios una potente herramienta para el acceso inicial, preparando así el escenario para ataques más devastadores. Las organizaciones deben priorizar la detección y mitigación de los ladrones de información como parte de una estrategia integral de ciberseguridad. Si permanecemos alerta, monitoreamos continuamente las actividades sospechosas y empleamos mecanismos avanzados de detección y respuesta a amenazas, podemos reducir significativamente el riesgo que representan estas amenazas silenciosas.
