Infostealer-ransomware híbrido acecha sectores de energía, petróleo, gas, telecomunicaciones y maquinaria en países de América Latina.
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Una sofisticada amenaza de malware infostealer denominada RedEnergy ha sido detectada en los sectores de servicios públicos de energía, petróleo, gas, telecomunicaciones y maquinaria en países de América Latina, entre ellos, México. Este infostealer representa una evolución dentro del ecosistema del cibercrimen, ya que tiene funciones duales: robo y cifrado de información.
Un malware infostealer, también conocido como ladrón de información, es un tipo de software malicioso diseñado para robar información confidencial de un sistema informático o de un usuario. Su principal objetivo es recopilar datos personales, financieros o de otro tipo valiosos que puedan ser utilizados para cometer fraudes, robo de identidad u otros delitos cibernéticos.
El malware infostealer puede infiltrarse en un sistema a través de diversas técnicas, como correos electrónicos de phishing, sitios web comprometidos, descargas de archivos infectados, unidades USB infectadas u otras vulnerabilidades del sistema. Una vez que se instala en el sistema, puede operar de manera sigilosa y oculta, recopilando información sin que el usuario sea consciente de ello.
Este tipo de malware puede robar una amplia gama de datos, como contraseñas, nombres de usuario, información bancaria, números de tarjetas de crédito, historial de navegación, archivos personales y cualquier otra información confidencial almacenada en el sistema. Una vez recopilada, la información se envía a los atacantes, quienes pueden utilizarla con fines maliciosos o venderla en el mercado negro.
En este sentido, además que RedEnergy posee la capacidad de robar información de varios navegadores — lo que permite la exfiltración de datos confidenciales — , incorpora diferentes módulos para llevar a cabo actividades de ransomware, con la finalidad de infligir el máximo daño a las víctimas.
La base de RedEnergy es la operación de phishing que engaña a los usuarios para que descarguen malware basado en JavaScript, bajo la apariencia de actualizaciones del navegador web. Después, se hace uso de páginas acreditadas de LinkedIn para apuntar a las víctimas, redirigiendo a los usuarios que hacen clic en las URL del sitio web, a una página de destino falsa que les pide que actualicen sus navegadores web haciendo clic en el ícono apropiado, lo cual da como resultado la descarga de un ejecutable malicioso.
Posterior a la vulneración exitosa, el binario malicioso se usa como un conducto para configurar la persistencia, realizar la actualización real del navegador y también lanzar un infostealer capaz de recopilar información confidencial de manera encubierta y cifrar los archivos robados, dejando a las víctimas en riesgo de pérdida potencial de datos, exposición o incluso la venta de sus valiosos datos.
Como recomendación, las organizaciones deben tener la máxima precaución al acceder a los sitios web, especialmente a los vinculados desde los perfiles de LinkedIn, así como verificar la autenticidad de las actualizaciones del navegador y tener cuidado con las descargas inesperadas de archivos.
Para más información, visite: https://www.silikn.com/