Lumufebrero 27, 2024

Infostealers: La amenaza silenciosa que compromete al mundo, una contraseña a la vez

¿Qué son los ladrones de información?

Los infostealers son una clase de software malicioso diseñado para recopilar y filtrar datos de sistemas o redes sin el consentimiento del usuario. Estos programas sigilosos, a menudo impulsados ​​por motivos financieros o delictivos, tienen como objetivo exfiltrar información confidencial, lo que plantea riesgos importantes tanto para individuos como para organizaciones.

El primer ladrón de información moderno observado se remonta a principios de 2007 y se conocía como ZeuS o Zbot . El principal objetivo del malware era robar credenciales bancarias online y rápidamente se convirtió en uno de los troyanos bancarios más extendidos y sofisticados jamás vistos. En 2011, el código fuente se hizo público, lo que provocó la proliferación de numerosas variantes nuevas.

A lo largo de los años, los avances tecnológicos y la economía sumergida han facilitado el desarrollo y la proliferación de nuevas variantes de ladrones de información, y los ciberdelincuentes mejoran continuamente sus tácticas para evadir la detección y maximizar sus ganancias. Hoy en día, los ladrones de información siguen siendo una amenaza potente y frecuente, que plantea graves riesgos para personas, empresas y organizaciones de todo el mundo.

Cada vez más, los ladrones de información se utilizan como punto de entrada en ciberataques sofisticados, lo que subraya su papel como vector de amenaza fundamental en el cibercrimen moderno.

¿Cómo funcionan los infostealers?

La función principal de un ladrón de información es recopilar clandestinamente información confidencial de las víctimas mediante diversas técnicas, como enumerar archivos y directorios, registrar pulsaciones de teclas, extraer datos del navegador, acceder a archivos, copiar cookies y tomar capturas de pantalla. Luego, los datos robados se transmiten a un servidor de comando y control controlado por el atacante.

Como es común con el malware moderno, los ladrones de información han pasado a un modelo de malware como servicio (MaaS). Esto facilita que los atacantes con experiencia mínima en atacar empresas utilicen dichos servicios para infiltrarse en los sistemas y extraer información, a menudo en formato de registros. Posteriormente, estos registros se venden en foros clandestinos y mercados criminales en la web oscura.

Datos a los que se dirigen con mayor frecuencia los ladrones de información :

  • Información de configuración del sistema
  • Credenciales de cuenta
  • Datos del navegador como cookies y datos de extensión.
  • Tarjetas de crédito
  • Carteras criptográficas
  • Información de autocompletar

Los ladrones de información se distribuyen a través de varios canales, incluidos el phishing, el phishing extendido y la publicidad maliciosa. Además, los métodos de distribución poco comunes incluyen envenenamiento de SEO, software falso y publicaciones públicas en redes sociales.

Canales de distribución comunes

Phishing : este es un método común para distribuir varias familias de malware; generalmente los ciberdelincuentes envían documentos como archivos PDF, HTML o de MS Office que contienen cargas útiles maliciosas o enlaces URL camuflados para descargar los artefactos. Para intentar evadir la detección, los archivos suelen cifrarse con contraseñas, lo que dificulta a los proveedores de correo electrónico escanear en busca de contenido malicioso.

Instrumentación de software legítimo : este es un vector de infección clásico, los usuarios pueden infectarse fácilmente al instalar software ilegítimo. Las versiones modificadas suelen albergar código malicioso incrustado, lo que las convierte en un riesgo importante para los usuarios inexpertos.

Malversiting : esta tendencia comenzó en 2017 y actualmente está en aumento: los actores maliciosos distribuyen cargas útiles maliciosas a través de algunas páginas de alto rango, a menudo haciéndose pasar por actualizaciones de software popular, como Google Chrome.

La infraestructura detrás de una botnet de robo de información

La siguiente es la topología de Redline Stealer, un típico ladrón de información moderno. Dirigido por Jiho Kim.

Flujo de ejecución de línea roja

Análisis de información robada

La información recopilada por los ladrones de información se centra en objetivos específicos. Por un lado, su objetivo es adquirir datos sensibles como credenciales de portales bancarios, billeteras de criptomonedas, detalles de cuentas de correo electrónico, credenciales de redes sociales o cualquier información que pueda ser explotada para un uso indebido en el futuro. Por otro lado, los Infostealers también recopilan detalles técnicos sobre el sistema comprometido, incluidas cookies de sesión, UserAgents, especificaciones de la máquina y archivos de registro. Estos conocimientos técnicos permiten a los atacantes simular el entorno de las cuentas objetivo, evadiendo medidas de seguridad e intentando acceso no autorizado sin restricciones ambientales.

A continuación se muestra un ejemplo de información robada por un ladrón de información MaaS real.

La mayoría de los ladrones de información poseen la capacidad de identificar múltiples portales de inicio de sesión y extraer credenciales. Posteriormente, formatean esta información en registros estructurados, empleando diversas técnicas para transmitirlos a la infraestructura adversaria (Exfiltración). Esto permite a los atacantes acceder y explotar fácilmente la información confidencial recopilada de los sistemas comprometidos.

Estadísticas del mundo oscuro

Fuente: Roca Hudson

Los ladrones de información y la economía del cibercrimen

Detrás del robo de información se esconde un intrincado ecosistema cibercriminal con diversos roles y niveles de ganancias. Los investigadores de SecureWorks identifican al menos cuatro niveles:

Desarrolladores y expertos en información: encargados de crear programas para robar datos y evadir medidas de ciberseguridad. Este nivel se nutre de la demanda del mercado de características específicas adaptadas a los objetivos.

Mercados criminales: el segundo nivel, también conocido como Corredores de acceso inicial (IAB), opera en foros de la web oscura y ofrece servicios y acceso que van desde $ 50 a $ 1000 USD, según el tipo de ladrón de información. Los clientes, normalmente actores maliciosos que aprovechan el conocimiento específico de la industria, utilizan este acceso inicial para ataques sofisticados como Ransomware. El auge del ransomware como servicio (RaaS) ha aumentado la importancia de los IAB, ya que agilizan la recopilación y el reconocimiento de inteligencia y permiten a los atacantes iniciar ataques con un vector inicial sólido.

Infraestructura de soporte oscuro: estos servicios de soporte offshore están dedicados a mantener el anonimato de los ciberdelincuentes. En los últimos Modelos como Servicio (MaaS), esta infraestructura es administrada por los propios propietarios de los servicios de malware.

Víctimas: En última instancia, las víctimas de este tipo de ataques, bajo la presión de diversos factores, sucumben al pago de rescates a bandas criminales. Este pago se realiza para evitar la publicación de datos confidenciales o descifrar información crucial esencial para la continuidad del negocio. Sin saberlo, estas acciones contribuyen a la perpetuación del ciclo económico criminal.

Existen varios foros que venden información en la web oscura, como 2easy, BidenCash y Russian Market . También existe una tendencia reciente a vender esa información en tiendas descentralizadas y plataformas de redes sociales como Telegram y otras.

Mercado monetario de Biden

Telegram BerkserkLogs Market

Se ha visto a varios actores de amenazas utilizando agentes de acceso inicial para comprometer redes y realizar ataques a gran escala, como Lockbit 3.0, Royal Ransomware , BlackHunt, Medusa y otros.

¿Su red ha sido comprometida por InfoStealers?

Los actores de amenazas escanean constantemente Internet en busca de nuevos objetivos. Cuanta más información posean sobre una empresa, mayores serán sus posibilidades de infiltrarse en la infraestructura. Medidas de seguridad débiles para disminuir la superficie de ataque, lo que permite a los atacantes identificar y explotar vulnerabilidades sin esfuerzo. Además, la facilidad para adquirir credenciales o acceder a entornos facilita las actividades ilícitas, lo que permite a los actores maliciosos operar con facilidad.

En la actualidad, varias empresas desconocen que varias de las credenciales de sus empleados se venden en la web oscura. Silenciosamente, los atacantes tienen la clave para iniciar ataques a gran escala.

Observe la actividad de su red

La Evaluación de compromiso continuo de Lumu le permite identificar cuándo, dónde y cómo su infraestructura se comunica con los adversarios; obtiene la visibilidad que necesita de lo que sucede en cualquier momento en su red. El sólido proceso de inteligencia sobre amenazas cibernéticas le proporciona información crucial para salvaguardar su infraestructura y mitigar eficazmente las amenazas en múltiples etapas de la cadena de infección.

Lumu rastrea la infraestructura maliciosa que distribuye, comunica o controla malware, phishing, spam, publicidad maliciosa y diferentes tipos de amenazas y técnicas, y alerta a su empresa cuando el enemigo llama a su puerta.

Mapa Mitre del malware Infostealer
Táctica Técnica
Reconocimiento T1589 Recopilar información de identidad de la víctima
Reconocimiento T1598 Phishing para información
Desarrollo de recursos T1583.001 Adquirir Infraestructura: Dominios
Desarrollo de recursos T1585.001 Establecer cuentas: cuentas de redes sociales
Acceso inicial T1566: Phishing
Acceso inicial T1204.002: Archivo malicioso
Acceso inicial T1189 Compromiso de paso
Acceso inicial T1199: Relación de confianza
Acceso inicial T1078.002 Cuentas Válidas: Cuentas de Dominio
Ejecución T1059.003: Shell de comandos de Windows
Ejecución T1059.001: PowerShell
Ejecución T1648 Ejecución sin servidor
Ejecución T1204 Ejecución de usuario
persistencia T1136 Crear cuenta
Escalada de privilegios T1484.002 Modificación de la política de dominio
Evasión de defensa T1564.001: Archivos y directorios ocultos
Evasión de defensa T1070.004 Eliminación del archivo de eliminación del indicador
Evasión de defensa T1578.002 Modificar la infraestructura de computación en la nube
Evasión de defensa T1497.001 Verificaciones del sistema
Acceso a credenciales T1555.003: Credenciales de navegadores web
Acceso a credenciales Eliminación del indicador T1555Eliminación de archivos
Acceso a credenciales T1606 Forjar credenciales web
Acceso a credenciales T1621 Generación de solicitud de autenticación multifactor
Acceso a credenciales T1552 Credenciales no seguras: Credenciales en archivos
Descubrimiento T1087: Descubrimiento de cuenta
Descubrimiento T1217: Descubrimiento de información del navegador
Descubrimiento T1046: Descubrimiento de servicios de red
Descubrimiento T1057: Descubrimiento de procesos
Descubrimiento T1012: Registro de consultas
Descubrimiento T1518: Descubrimiento de software
Descubrimiento T1016: Descubrimiento de la configuración de la red del sistema
Descubrimiento T1614: Descubrimiento de ubicación del sistema: Descubrimiento del idioma del sistema
Descubrimiento T1083: Descubrimiento de archivos y directorios
Descubrimiento T1082: Descubrimiento de información del sistema
Descubrimiento T1033: Descubrimiento de usuario/propietario del sistema
Descubrimiento T1538: Panel de control del servicio en la nube.
Descubrimiento T1018: Descubrimiento remoto del sistema
Descubrimiento T1539: Robar cookie de sesión web
Recopilación T1113: Captura de pantalla
Recopilación T1119: Colección automatizada
Recopilación T1115: Datos del portapapeles
Recopilación T1005: Datos del sistema local
Recopilación T1056.001: Registro de teclas
Comando y control T1102: Servicio web
Comando y control T1102.002: Comunicación bidireccional
Exfiltración T1041: Exfiltración por el canal de comando y control
Exfiltración T1020: Exfiltración automatizada
Exfiltración T1048: Exfiltración sobre protocolo alternativo

Revisa tus dispositivos

Es fundamental contar con herramientas de monitoreo para realizar un seguimiento de los servicios de su dispositivo y detectar cualquier comportamiento sospechoso con prontitud. Si su empresa dispone de un EDR, es fundamental mantenerlo actualizado.

Protección contra los ladrones de información

Los operadores de ciberseguridad que buscan protegerse contra la amenaza que representan los ladrones de información pueden tomar las siguientes acciones:

  • Establezca una estrategia efectiva para el monitoreo continuo de la actividad de la red y los endpoints para detectar cualquier actividad sospechosa.
  • Asegúrese de que cualquier comunicación entre su red y la infraestructura adversa esté bloqueada. Con las más de 125 integraciones de Lumu , cualquier contacto detectado se bloquea inmediatamente utilizando la infraestructura de ciberseguridad existente.
  • Haga cumplir el principio de privilegio mínimo para garantizar que los usuarios tengan acceso a servicios y permisos para sus funciones laborales y nada más.
  • No exponga servicios innecesarios. Se recomienda a los usuarios que deshabiliten sus protocolos de escritorio remoto (RDP) si no están en uso; si es necesario, deben colocarse detrás del firewall y los usuarios deben vincularse con las políticas adecuadas mientras usan un RDP.
  • Conozca si hay credenciales comprometidas.
  • Familiarizar a los empleados con un procedimiento adecuado para abrir documentos digitales.
  • Ajuste sus defensas contra el spam
  • Establezca un marco de políticas de remitente (SPF) para su dominio.
Conclusión

El sigilo y la sofisticación del malware de robo de información presentan un peligro claro y presente para la ciberseguridad global. Originalmente diseñados para el robo de datos, los ladrones de información ahora brindan a los ciberadversarios una potente herramienta para el acceso inicial, preparando así el escenario para ataques más devastadores. Las organizaciones deben priorizar la detección y mitigación de los ladrones de información como parte de una estrategia integral de ciberseguridad. Si permanecemos alerta, monitoreamos continuamente las actividades sospechosas y empleamos mecanismos avanzados de detección y respuesta a amenazas, podemos reducir significativamente el riesgo que representan estas amenazas silenciosas.

Adopte estrategias para minimizar su superficie de ataque

Este adversario silencioso se aprovecha de cualquier información involuntaria divulgada por las empresas. Todo servicio que las empresas exponen a Internet debe pasar por un análisis de riesgos. Las empresas deben adoptar estrategias para evaluar su infraestructura expuesta y determinar su necesidad en términos de operaciones comerciales. El acceso debe restringirse utilizando métodos de privilegio mínimo en sus redes y sistemas de autenticación.

El adversario intentará comunicarse con tu infraestructura y debes estar preparado para detectarlo.

Revisa tus dispositivos

Es fundamental contar con herramientas de monitoreo para realizar un seguimiento de los servicios de su dispositivo y detectar cualquier comportamiento sospechoso con prontitud. Si su empresa dispone de un EDR, es fundamental mantenerlo actualizado.

Protección contra los ladrones de información

Los operadores de ciberseguridad que buscan protegerse contra la amenaza que representan los ladrones de información pueden tomar las siguientes acciones:

  • Establezca una estrategia efectiva para el monitoreo continuo de la actividad de la red y los endpoints para detectar cualquier actividad sospechosa.
  • Asegúrese de que cualquier comunicación entre su red y la infraestructura adversa esté bloqueada. Con las más de 125 integraciones de Lumu , cualquier contacto detectado se bloquea inmediatamente utilizando la infraestructura de ciberseguridad existente.
  • Haga cumplir el principio de privilegio mínimo para garantizar que los usuarios tengan acceso a servicios y permisos para sus funciones laborales y nada más.
  • No exponga servicios innecesarios. Se recomienda a los usuarios que deshabiliten sus protocolos de escritorio remoto (RDP) si no están en uso; si es necesario, deben colocarse detrás del firewall y los usuarios deben vincularse con las políticas adecuadas mientras usan un RDP.
  • Conozca si hay credenciales comprometidas.
  • Familiarizar a los empleados con un procedimiento adecuado para abrir documentos digitales.
  • Ajuste sus defensas contra el spam
  • Establezca un marco de políticas de remitente (SPF) para su dominio.
Conclusión

El sigilo y la sofisticación del malware de robo de información presentan un peligro claro y presente para la ciberseguridad global. Originalmente diseñados para el robo de datos, los ladrones de información ahora brindan a los ciberadversarios una potente herramienta para el acceso inicial, preparando así el escenario para ataques más devastadores. Las organizaciones deben priorizar la detección y mitigación de los ladrones de información como parte de una estrategia integral de ciberseguridad. Si permanecemos alerta, monitoreamos continuamente las actividades sospechosas y empleamos mecanismos avanzados de detección y respuesta a amenazas, podemos reducir significativamente el riesgo que representan estas amenazas silenciosas.

Compartir