Los infostealers se posicionan como la principal amenaza para dependencias gubernamentales y los sectores financiero, salud e industrial.

febrero 13, 2024

Los infostealers se posicionan como la principal amenaza para dependencias gubernamentales y los sectores financiero, salud e industrial.

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.

La creciente dependencia digital de las empresas ha creado más oportunidades para que las exploten los cibercriminales. Esto ha alimentado una serie de amenazas a la ciberseguridad, incluido el malware que se presenta en diversas formas, como ransomware, spyware, adware y troyanos. Un área de rápido crecimiento es el malware de robo de información conocido como “infostealer”, que es software malicioso diseñado para robar datos.

A diferencia del ransomware, donde la información es rehén, los ataques de robo de información se producen de forma encubierta y el crecimiento ha sido impulsado por la explosión de dispositivos conectados junto con la facilidad para intercambiar información en los sitios de la Dark Web.

Los infostealers son una forma de malware como servicio (MaaS) que extrae datos de dispositivos infectados en archivos de registro que los atacantes venden y publican en la Dark Web. Al igual que otros tipos de MaaS, el malware se puede alquilar de forma asequible desde la Dark Web para llevar a cabo ciberataques.

El modelo MaaS ha reducido la barrera de entrada, lo que ha aumentado el riesgo. Una vez instalado, el software recopila de forma sigilosa datos del dispositivo comprometido, incluidos navegadores web, correo electrónico, cuentas de redes sociales, cookies, billeteras criptográficas y aplicaciones de juegos.

Los infostealers se centran en recopilar una gran cantidad de información personal, como nombres de usuario, contraseñas, fechas de nacimiento, domicilios, correos electrónicos, números de cuentas bancarias, información de tarjetas de crédito, números de móviles, cookies e ID de sesión. Para dar una perspectiva de la magnitud del problema, el volumen de credenciales a la venta en la Dark Web por parte de ladrones de información creció un 220% entre 2022 y 2023.

La mayoría de los infostealers confían en engañar al usuario para que los descargue e instale en su dispositivo. Haciéndose pasar por una copia gratuita de un videojuego, o incluso de software antivirus, los cibercriminales utilizan las redes sociales y sitios web falsos, entre otras tácticas, para convencer a las víctimas de que descarguen y ejecuten un programa. Una vez que el usuario lo ejecuta, el malware copia datos de carpetas del sistema que a menudo contienen autenticación o información personal.

Estos archivos se filtran a un servidor remoto y se empaquetan en “registros” de información personal fáciles de leer, que luego pueden venderse a otros ciberdelincuentes o usarse para lograr un ingreso más profundo y conservar el acceso en la computadora de la víctima. Dado que la mayoría de los objetivos son dispositivos informáticos personales, compartir una extensa cantidad de datos altamente confidenciales podría conllevar riesgos significativos para las organizaciones.

Un análisis de la unidad de investigación de SILIKN señala que los infostealers son la amenaza más importante que enfrentan las dependencias gubernamentales y una de las principales preocupaciones cibernéticas de los sectores financieros, de salud e industriales.

En este sentido, el crecimiento de los infostealers se ha visto impulsado por la facilidad de uso, el costo relativamente bajo y el valor extremadamente alto de la información expuesta (por ejemplo, credenciales en texto plano, información de tarjetas de crédito, números de identificación, etc.).

La unidad de investigación de SILIKN descubrió que el 42.8% del malware vendido como servicio en 2023 fue el grupo de los infostealers. La reducción de las barreras de entrada permite a los ciberdelincuentes con conocimiento técnico o capital limitado implementar fácilmente el software para acceder a las redes. Además, están aprovechando los mercados que intercambian datos robados para acceder a los registros de los infostealers. Esto, junto con las soluciones tradicionales de ciberdefensa que solo se centran en las amenazas dentro de la red, significa que muchas organizaciones no son conscientes de la amenaza hasta que es demasiado tarde.

Una vez que un ciberdelincuente se ha suscrito al modelo MaaS o ha comprado un infostealer de la Dark Web, el siguiente paso es infectar tantas máquinas como sea posible. Existen varias tácticas para hacer esto, que incluyen:

• Incrustar el software en un documento y enviarlo como archivo adjunto en un correo electrónico de phishing que incita a las personas a abrirlo.

• La creación de un sitio de phishing que refleja el dominio o el logotipo de una organización confiable, junto con un diseño convincente, para engañar a las personas haciéndoles creer que es una aplicación legítima y, sin darse cuenta, que descarguen el infostealer.

• Agregar el código a una aplicación móvil, un navegador web o una extensión de navegador, y luego hacer que esté disponible para su descarga en tiendas de aplicaciones populares.

• Publicidad en Google Ads y Facebook Ads para engañar a más personas y que descarguen su malware. Esta táctica es tan efectiva que el FBI emitió una alerta advirtiendo contra ella.

• Promocionar enlaces de descarga en redes sociales y sitios de streaming como YouTube, con el pretexto de compartir copias gratuitas o complementos para videojuegos populares u otros tipos de software gratuito.

Un punto importante es que los ataques de los infostealers se están dirigiendo cada vez más a las empresas, con cibercriminales que buscan obtener información patentada, bases de datos de clientes, prototipos, registros financieros, propiedad intelectual y secretos comerciales para vender en la Dark Web.

Las credenciales robadas, las cookies o las huellas del navegador permiten a los ciberdelincuentes secuestrar una sesión, eludir la autenticación multifactor, obtener acceso a la red y acceder a información empresarial crítica. Luego, el malware envía los datos al ciberdelincuente y, a veces, los enruta a través de un tercero, como un servidor de Discord o Telegram, para preservar el anonimato.

Los datos robados por los infostealers provienen principalmente de los administradores de contraseñas y funciones de autocompletar del navegador. Además, el malware puede robar archivos de las carpetas del dispositivo, cookies del navegador, billeteras de criptomonedas e información de otros servicios.

Si un empleado o cliente tiene privilegios para instalar software en un dispositivo corporativo, entonces el activo podría ser vulnerable a los infostealers a través del vector habitual y la información de la empresa podría quedar expuesta.

Especialmente con el aumento del trabajo remoto e híbrido, los clientes y empleados utilizan cada vez más dispositivos personales para iniciar sesión en las redes de la empresa, lo que impide que las organizaciones mitiguen eficazmente esta vulnerabilidad. Si la víctima ha guardado las credenciales o información de la empresa en el administrador de contraseñas de su navegador, como el acceso al correo electrónico basado en la web, entonces esa información puede verse comprometida y usarse como acceso inicial para ingresar en la organización.

Sin embargo, el riesgo no termina aquí. La reutilización de contraseñas sigue siendo una práctica extremadamente común: un análisis de la unidad de investigación de SILIKN encontró que las personas reutilizan una sola contraseña en promedio 18 veces. Si un empleado selecciona la misma contraseña tanto para aplicaciones laborales como para aplicaciones personales, y esa credencial se ve comprometida a través de un infostealer, los ciberdelincuentes intentarán usarla con todas las cuentas asociadas que puedan identificar. Dado que una organización no puede controlar qué contraseña utilizan las personas para las cuentas personales en sus dispositivos, es extremadamente importante que se supervise y evalúe proactivamente el compromiso de las credenciales para mitigar la vulnerabilidad de la reutilización de contraseñas.

Los costos asociados con la investigación y remediación de una violación de datos son significativos, junto con la amenaza de demandas y multas. No proteger la información de los clientes puede tener un impacto negativo en la reputación de la empresa y ser perjudicial para las relaciones con clientes y empleados.

Una vez que una máquina está infectada y se extraen los datos, los delincuentes tienen varias opciones para monetizar la información robada. Pueden utilizar los datos para perpetrar fraudes ellos mismos o venderlos en la Dark Web a otros ciberdelincuentes. Los datos a menudo se empaquetan y venden como registros que son perfiles completos de la información de cada computadora comprometida.

Hay muchas formas en que los ciberdelincuentes aprovechan los activos robados para obtener ganancias financieras, incluida la compra de bienes utilizando información de tarjetas de crédito robadas, la apertura de tarjetas nuevas utilizando información personal expuesta (por ejemplo, nombre, dirección, número de seguro social, fecha de nacimiento, etc.) o la obtención de préstamos en el nombre de la víctima. Los datos también pueden reforzar las campañas de phishing o ingeniería social al hacer que el mensaje sea más creíble.

Dado que la Dark Web es donde termina gran parte de los datos obtenidos de los ataques de los ladrones de información, monitorear este contenido junto con otras fuentes de la Deep Web es una línea de defensa crítica. Para combatir eficazmente la amenaza, las empresas deben integrar una solución que escanee continuamente la Dark Web en busca de credenciales comprometidas y alerte proactivamente a la organización en cuanto la información o credenciales confidenciales queden expuestas.

Con este enfoque, si se detecta una exposición, las empresas pueden proteger las cuentas de los usuarios y forzar un restablecimiento de contraseña para que los actores de amenazas no puedan iniciar sesión. Esto evita una vulneración mayor y mucho más catastrófica causada por los datos contenidos en los registros de los infostealers. Recordemos que la detección temprana es esencial cuando se trata de vulnerabilidades causadas por credenciales e información personal expuestas.

Para más información, visite: https://www.silikn.com/