Cómo proteger su negocio de los sistemas de malware multiplataforma
El Grupo Lazarus (también conocido como Guardianes de la Paz o Whois) es una notoria banda de ciberdelincuencia formada por individuos desconocidos. Según la Oficina Federal de Investigaciones de los Estados Unidos, el grupo es una «organización de piratería patrocinada por el estado» de Corea del Norte.
Sin embargo, algunos creen que sus conexiones con Corea del Norte podrían ser una bandera falsa que pretende ocultar sus verdaderos orígenes. El Grupo Lazarus ha sido responsable de muchos ataques cibernéticos durante la última década, siendo el último una serie de ataques dirigidos a empresas en Polonia, Alemania, Turquía, Corea del Sur, Japón e India con ataques de marco de malware multiplataforma.
El beneficio potencial de un ataque de malware bien orquestado ha aumentado debido al crecimiento de los datos confidenciales almacenados en computadoras y al uso generalizado de monedas digitales. Se ha informado que una décima parte de los ataques de ransomware implican algún tipo de robo de datos, que es especialmente efectivo cuando se usa contra grandes empresas o gobiernos encargados de proteger los datos del público.
Aunque las criptomonedas generalmente se consideran seguras debido a su uso altamente encriptado de la tecnología blockchain, monedas digitales patrocinadas por el estado puede tener el potencial de ser vigilado. En esta nueva era de ataques a estados-nación, motivados por objetivos financieros, políticos o militares, los usuarios deben tener un mayor sentido de vigilancia con todo lo que hacen en línea.
En este artículo, profundizaremos en lo que necesita saber sobre los ataques de malware y en qué se diferencian los marcos multiplataforma de los ataques de malware estándar. Abordaremos las formas comunes en que los piratas informáticos maliciosos evitan la detección y lo que puede hacer para proteger su negocio contra ellos.
¿Qué sabemos del Grupo Lázaro?
Es muy difícil conocer detalles definitivos sobre el grupo ciberdelincuente altamente anónimo y sigiloso, también conocido como Hidden Cobra. Sin embargo, sus ataques altamente desarrollados han sido estudiados en detalle por investigadores y vinculados a Lazarus a través de una dirección IP. El Grupo Lazarus surgió por primera vez como una amenaza cuando el grupo lanzó un ataque DDoS contra el gobierno de Corea del Sur entre 2009 y 2012 conocido como «Operación Troya».
Un ataque más publicitado volvió a ocurrir en 2014 contra Sony Pictures, que filtró guiones, datos confidenciales y películas antes de su fecha de estreno. Este ataque fue de naturaleza más sofisticada y mostró cómo el grupo había evolucionado con el tiempo. Los líderes detrás del ataque afirmaron que el motivo del ataque era detener el lanzamiento de la película “The Interview”, protagonizada por Seth Rogen y James Franco. La comedia tenía una representación menos que elogiosa del gobernante norcoreano Kim Kung-Un, que fue la causa del ataque dirigido.
A Lazarus Group también se le atribuye el robo de más de $155 millones de dólares de bancos de todo el mundo, principalmente en Vietnam, México, Polonia, Ecuador y Bangladesh. El grupo ha cambiado su enfoque principalmente a la vigilancia y el espionaje, pero todavía tienen una rama de piratas informáticos centrada únicamente en los ataques cibernéticos financieros conocidos como Bluenoroff.
¿Qué tiene de especial un marco de malware multiplataforma?
El Grupo Lazarus creó un marco de malware multiplataforma para robar información confidencial de los clientes al infectar tres sistemas operativos principales: Windows, macOS y Linux. Conocido como el marco de malware MATA, este malware es particularmente malicioso ya que está programado para realizar una serie de actividades en las computadoras infectadas. Según la empresa de seguridad Kaspersky Labs, que descubrió el marco MATA, el malware multiplataforma es raro, ya que su desarrollo requiere habilidades y financiación significativas. El malware quedó expuesto este verano, pero los expertos creen que estuvo activo desde la primavera de 2018.
La versión de Windows de MATA consta de un cargador que se utiliza para cargar una carga útil cifrada de siguiente etapa llamada «lsass.exe». Este módulo orquestador es capaz de cargar 15 complementos adicionales al mismo tiempo y ejecutarlos en la memoria. Estos complementos tienen características específicas que permiten que el malware manipule archivos y procesos del sistema, inyecte archivos DLL y cree un servidor proxy HTTP.
Estos complementos de MATA también permiten a los piratas maliciosos atacar dispositivos de red basados en Linux, como enrutadores, firewalls o dispositivos IoT, y sistemas macOS al imitar una aplicación llamada MinaOTP, una aplicación de autenticación de dos factores de código abierto. Una vez que se instalan los complementos, los piratas informáticos malintencionados intentan localizar bases de datos que almacenan información confidencial. Los marcos MATA también son capaces de emitir ransomware VHD a los dispositivos comprometidos de sus víctimas.
El software malicioso se puede incluir en secreto con otro software que se descarga, puede infectar a los usuarios que visitan ciertos sitios web que ya están infectados con malware o puede disfrazarse como una ventana emergente que anima a los usuarios a hacer clic en un botón que iniciará una descarga. . Una estrategia común que les gusta usar a los ciberdelincuentes es enviar correos electrónicos de phishing que contienen archivos adjuntos de correo electrónico, aparentemente de una empresa de confianza, que les pide que hagan clic en enlaces y descargar archivos de malware ocultos.
¿Qué hago si mi empresa ha sido objeto de un ataque de malware?
Si la batería de los dispositivos de su empresa se agota rápidamente y el rendimiento del dispositivo es lento y lento, es posible que tenga demasiadas aplicaciones ejecutándose en segundo plano o que el malware se esté apoderando lentamente de su dispositivo. Las ventanas emergentes extrañas, un aumento anormal del uso de datos y elementos extraños en la factura de su teléfono son signos de malware.
Si sospecha que su dispositivo está infectado con malware, debe tomar medidas rápidas para eliminarlo por completo. Primero, desconéctese de Internet inmediatamente e informe a su equipo de soporte de TI si tiene uno. Si sabe qué archivo o aplicación es responsable del virus, puede eliminarlo usted mismo o confiar en un profesional de TI de su equipo para que responda. Sin embargo, este es un proceso complicado, ya que está codificado para evitar que los elimine, lo que puede causar frustración.
¿Cómo puedo proteger mi negocio de ataques de malware como MATA?
Independientemente del propósito del malware y cómo llegó allí, nunca son buenas noticias. Afortunadamente, hay un par de formas simples pero efectivas de protegerse a sí mismo, a su empresa y a su personal contra ataques de malware como el Marco MATA.
Muchas de estas estrategias también son efectivas para proteger su negocio, personal y datos contra una amplia gama de ataques cibernéticos, y no solo MATA. Sin embargo, para lograr la mejor protección posible, deberá adoptar un enfoque de defensa de espectro completo. Repasemos los elementos más importantes de esto:
- Haga un inventario de sus activos. Solo puede proteger sus activos de manera efectiva si sabe lo que está protegiendo. Por lo tanto, la primera y más importante parte de cualquier estrategia de seguridad cibernética es hacer un inventario de los activos de hardware y software que están conectados a su red. Como hemos señalado en otro lugar, usar el descubrimiento pasivo puede ser una forma efectiva de hacer esto.
- Piense dos veces antes de hacer clic. Una proporción significativa de los ataques cibernéticos se instiga a través de mensajes de phishing que alientan a las víctimas a hacer clic en un enlace malicioso. Si bien puede parecer una forma bastante básica de protegerse, mantenerse alerta en lo que respecta a sus mensajes puede reducir drásticamente su exposición a este tipo de ataque. Aquí hay una regla de oro: no haga clic en un enlace sospechoso, sin importar de quién provenga.
- Educa a tus usuarios. Si está administrando un equipo, es importante asegurarse de que también sigan las mejores prácticas en lo que respecta a la ciberseguridad. Deberá educar a sus usuarios sobre los tipos más comunes de ataques de phishing que están en circulación y compartir algunas estrategias básicas sobre cómo evitarlos. Igualmente importante es enseñarles acerca de la seguridad web básica. Usar un navegador seguro al navegar por la web les avisará cuando no se utilice HTTPS y protegerlo de tropezar con sitios de phishing.
- Parchee y mantenga su software actualizado. Todo el mundo sabe que debe mantener su software actualizado, pero muy pocos lo hacemos. El hecho es que una gran cantidad de software se envía con vulnerabilidades de día cero que deben parchearse para que sea seguro. También debe asegurarse de que su gestión de vulnerabilidades cubra todos sus activos de software conectados para que sus profesionales de seguridad puedan priorizar sus esfuerzos de remediación y mitigación en consecuencia.
- Por último, pero definitivamente no menos importante, use contraseñas seguras. Las contraseñas débiles siguen siendo una de las principales causas de vulnerabilidad, y el acceso a sistemas bastante inocuos puede utilizarse para aprovechar ataques más sofisticados. Es por eso que debe usar y hacer cumplir contraseñas seguras y únicas para todas las cuentas.
Estos pasos son, por supuesto, solo el comienzo. Desafortunadamente, no existe una garantía del 100 % de que su negocio estará completamente a salvo de caer en manos del Grupo Lazarus y convertirse en víctima de sus ataques de sistema de malware multiplataforma o cualquier otro ataque cibernético, pero siendo más consciente de la naturaleza En torno a estos ataques y lo que puede hacer para proteger su negocio, puede reducir su riesgo y cerrar cualquier agujero expuesto que lo haga vulnerable a los ataques de malware.