DarkGate, Emotet y Lokibot, la prueba de que las amenazas están en constante evolución

  • Actualidad
ciberseguridad ciberataque

Un nuevo informe de Kaspersky desvela tácticas complejas de infección en las variedades de malware DarkGate, Emotet y LokiBot. El cifrado único de DarkGate, junto al regreso de Emotet y la persistencia de LokiBot, obligan al sector de la ciberseguridad y a las empresas a no bajar la guardia y a ser proactivos en la ciberdefensa.

En junio de 2023 los analistas de la firma de ciberseguridad descubrieron un nuevo cargador o loader llamado DarkGate con funciones fuera de lo normal. Entre ellas se encuentra el uso de una herramienta VNC (programa que toma el control del ordenador en remoto), el bloqueo de Windows Defender y el robo del historial del navegador y de tokens en Discord. DarkGate se desarrolla en cuatro etapas y lo que diferencia a este loader del resto es que tiene una forma única de cifrar cadenas mediante claves personalizadas. También cuenta con una versión a medida del algoritmo de codificación Base64 que utiliza caracteres especiales.

Los expertos de Kaspersky también analizaron Emotet, una conocida botnet que resurge de sus cenizas tras ser desmantelada en 2021. Utiliza OneNote como principal vector de ataque. Los usuarios que abren los archivos de esta app ejecutan, sin saberlo, un VBScript que inyecta código malicioso (DLL) con instrucciones ocultas.

La compañía también ha detectado una campaña de phishing dirigida a empresas de buques de carga a través de LokiBot, descubierto en 2016 y diseñado para el robo de credenciales de navegadores, clientes FTP, etcétera. Se difunde a través de documentos adjuntos en correos electrónicos. Se trata de archivos de Excel que aprovechan una vulnerabilidad conocida (CVE-2017-0199) de Microsoft Office para la descarga de un documento RTF que aprovecha otra vulnerabilidad (CVE-2017-11882) para ejecutar LokiBot.

Claves para defenderse frente al ransomware
-- Mantener siempre los equipos actualizados para prevenir ataques que explotan vulnerabilidades para infiltrarse en la red

-- Centrar la estrategia en la detección de movimientos laterales y brechas de datos en Internet. Poner especial atención al tráfico saliente para detectar conexiones de los cibercriminales a la red. Realizar copias de seguridad y mantenerlas fuera de conexión. Asegurarse de que estén disponibles en caso de emergencia.

-- Activar la protección frente a ransomware en todos los endpoints.

-- Instalar soluciones anti-APT y EDR que permiten detectar e investigar incidentes en fase temprana.

-- Proveer al equipo del SOC de una capacitación profesional constante y la última inteligencia de amenazas.