Kaspersky: Descubre un malware que roba datos de equipos sin conexión

De acuerdo con Kaspersy, el malware es capaz de infectar unidades de memoria extraíble, así como robar datos de computadoras locales.

Los ciberdelincuentes encuentran cada vez mejores maneras de cometer delitos mediante los dispositivos electrónicos, afortunadamente, Kaspersky está comprometido con proteger digitalmente a todos sus usuarios por lo que siempre está en constante investigación para detectar las posibles amenazas que puedan existir, como el nuevo malware descubierto por sus expertos.

Te puede interesar: Kaspersky: 5 hábitos digitales para este regreso a clases

El informe ICS CERT de Kaspersky revela la segunda parte del análisis de un malware de filtración de datos. En la primera fase realiza implantes de malware en los sistemas de las víctimas. Tras ello, extrae información de sistemas con brechas de aire o air gap (dispositivos y equipos aislados o desconectados de la red principal), invadiendo el terreno para la transmisión de los datos.

¿Cómo funciona éste nuevo malware?

Los analistas de Kaspersky fueron capaces de identificar dos tipos de implantes específicos en la segunda fase del ataque. Uno de los implantes es un malware modular sofisticado que infecta unidades extraíbles (USB, etcétera) a través de un gusano. Su objetivo es filtrar datos de equipos aislados o desconectados de empresas del sector industrial mediante esas unidades de memoria. El otro tipo de implante está diseñado para robar datos de las computadoras locales y enviarlos a una cuenta de Dropbox de los ciberatacantes.

El malware está diseñado específicamente para filtrar datos de sistemas con brechas de aire mediante la infección de las citadas unidades extraíbles. La herramienta maliciosa está compuesta de tres módulos, cada uno de ellos encargado de tareas diferentes: gestión de los dispositivos extraíbles, captura de datos e implantación de malware en las unidades recién conectadas.

A lo largo de la investigación, los analistas de Kaspersky constataron los esfuerzos de los ciberdelincuentes por evitar la detección de los sistemas defensivos de las empresas. Lo consiguen mediante la encriptación de un payload en archivos de datos binarios separados, así como a través de la incrustación de código malicioso en la memoria de aplicaciones legítimas a través de la técnica DLL Hijacking y de una serie de inyecciones de memoria. Kirill Kruglov, investigador sénior de seguridad de Kaspersky, explica:

“Los esfuerzos de los ciberdelincuentes por ocultar sus acciones a través de cargas encriptadas, inyecciones de memoria y secuestro de DLL muestran lo sofisticadas que son sus tácticas. Aunque la filtración de datos de redes aisladas es una estrategia recurrente adoptada por muchas APT y campañas de ciberespionaje, esta vez ha sido específicamente diseñada e implementada por el actor de amenazas. Kaspersky continúa ofreciendo protección contra estos y otros ataques cibernéticos, y colabora con la comunidad de ciberseguridad para difundir inteligencia de amenazas que se pueda procesar”

Para mantener seguros los equipos de tecnología operativa (OT), los expertos de Kaspersky recomiendan: 

• Realizar evaluaciones periódicas de seguridad en los sistemas OT para identificar y eliminar problemas de ciberseguridad.
• Evaluar y clasificar con regularidad las vulnerabilidades para su mejor gestión. Soluciones específicamente dedicadas como Kaspersky Industrial CyberSecurity son eficaces, además de una fuente de información procesable única y no disponible para todos los públicos.
• Actualizar los equipos de la red e instalar parches de seguridad, así como tomar las medidas que sean necesarias tan pronto como sea posible. Estas acciones son cruciales para prevenir incidentes que paralizan los procesos productivos de las empresas con costes en muchas ocasiones millonarios.
• El uso de soluciones EDR como Kaspersky Endpoint Detection and Response permite la detección de amenazas de alto nivel, así como la investigación y reparación efectiva de incidentes.
• Mejorar la respuesta a las nuevas técnicas de los ciberdelincuentes y fortalecer las habilidades de prevención, detección y respuesta de incidentes de los equipos. La capacitación específica en seguridad OT para el personal de seguridad de TI y el propio personal de OT es clave en este sentido.

Más información |  ICS CERT.