[09/09/2024] Los expertos de Kaspersky han identificado una versión desconocida hasta ahora del backdoor Loki que se ha utilizado en una serie de ataques selectivos contra al menos 12 empresas rusas. Las incursiones se produjeron en diversos sectores, como la ingeniería y la sanidad. El malware, que Kaspersky detecta como Backdoor.Win64.MLoki, es una versión de agente privado del framework de post-explotación de código abierto Mythic.
"Loki llega a las computadoras de las víctimas a través de correos electrónicos de phishing con archivos adjuntos maliciosos que los usuarios desprevenidos lanzan ellos mismos. Una vez instalado, Loki proporciona al atacante amplias capacidades en el sistema comprometido, como la gestión de tokens de acceso a Windows, la inyección de código en procesos en ejecución y la transferencia de archivos entre la máquina infectada y el servidor de comando y control”, sostuvo Artem Ushkov, desarrollador de investigación de Kaspersky, en el comunicado de prensa.
El ejecutivo comentó que «la popularidad de los frameworks de código abierto de post-explotación está creciendo, y aunque son útiles para mejorar la seguridad de la infraestructura, están viendo cómo los atacantes adoptan y modifican cada vez más estos frameworks para propagar malware. "Loki es el último ejemplo de atacantes que prueban y aplican varios frameworks con fines maliciosos y los modifican para dificultar su detección y atribución”.
Ushkov agregó que el propio agente de Loki no soporta el túnel de tráfico, por lo que los atacantes utilizan utilidades disponibles públicamente como ngrok y gTunnel para acceder a segmentos de red privados. Kaspersky descubrió que, en algunos casos, la utilidad gTunnel se modificaba utilizando goreflect para ejecutar su código malicioso en la memoria del ordenador objetivo, evitando así la detección.
En este momento, no hay datos suficientes para atribuir Loki a ningún grupo conocido de actores de amenazas, anotó el ejecutivo. "Sin embargo, el análisis de Kaspersky sugiere que los atacantes se dirigieron cuidadosamente a cada objetivo de forma individual en lugar de basarse en plantillas de correo electrónico de phishing estándar”.
Kaspersky recomienda:
- No exponer los servicios de escritorio remoto, como RDP, a redes públicas a menos que sea absolutamente necesario, y utilizar siempre contraseñas seguras.
- Asegurarse de que su VPN comercial y otras soluciones de software del lado del servidor estén siempre actualizadas, ya que la explotación de este tipo de software es un vector común de infección de ransomware. Mantener siempre actualizadas las aplicaciones del lado del cliente.
- Centrar su estrategia de defensa en la detección de movimientos laterales y la exfiltración de datos a Internet. Prestar especial atención al tráfico saliente para detectar conexiones de ciberdelincuentes. Hacer copias de seguridad de los datos con regularidad. Asegurarse de poder acceder rápidamente a ellas en caso de emergencia. Utilizar la información más reciente sobre Inteligencia de Amenazas para mantenerse al día sobre las últimas TTP utilizadas por los actores de amenazas.
- Utilizar los servicios gestionados de detección y respuesta para ayudar a identificar y detener un ataque en las primeras fases, antes de que los atacantes logren sus objetivos finales.
- Utilizar soluciones de seguridad complejas, que combinen la protección de puntos finales y las funciones de respuesta automatizada ante incidentes.
Franca Cavassa, CTOPerú