Los piratas informáticos están atacando a muchas empresas de toda Europa con malware sigiloso. Los investigadores de ESET han notado un aumento dramático en los llamados ataques AceCryptor a través de la herramienta de acceso remoto (RAT) Rescoms.
Entre la primera y la segunda mitad de 2023, el número de ataques detectados se triplicó: 42.000 usuarios de ESET en todo el mundo fueron atacados por ciberdelincuentes y estaban protegidos. Las empresas de Europa Central y España se vieron especialmente afectadas. Novedades de estos ataques: por primera vez, los piratas informáticos que utilizaban la herramienta de acceso remoto (RAT) de Rescoms para realizar ataques recurrieron a AceCryptor, un software de camuflaje para programas maliciosos. Las campañas tenían como objetivo los datos de acceso a cuentas de correo electrónico y navegador de empresas en los respectivos países, sentando las bases para futuros ataques.
Ataques sigilosos con herramientas de acceso remoto
“Con esta campaña, los ciberdelincuentes querían obtener la mayor cantidad de información posible. Para ello utilizan mensajes de spam 'clásicos', que en muchos casos eran extremadamente convincentes e incluso se enviaban desde cuentas de correo electrónico secuestradas”, afirma el investigador de ESET Jakub Kaloč, que descubrió la última campaña de ataque. “Abrir archivos adjuntos de dichos correos electrónicos puede tener graves consecuencias para las empresas. Por lo tanto, le recomendamos que tenga cuidado con los correos electrónicos con archivos adjuntos y que utilice un software de seguridad confiable”.
AceCryptor y Rescoms: ratas con tecnología de camuflaje
AceCryptor es el llamado Cryptor-as-a-Service (CaaS). Se trata de un software destinado a proteger su carga útil, normalmente varias familias de malware, para que no sea identificada y combatida por soluciones de seguridad. Para ello se utilizan diversas técnicas, p. B. Dificultar la depuración y el análisis mediante software antivirus. El año pasado, ESET examinó AceCryptor y descubrió cómo funciona el software.
En el caso actual, los piratas informáticos combinaron las dos tecnologías y enviaron software Rescoms disfrazado de AceCryptor a una gran cantidad de usuarios en múltiples campañas de correo electrónico no deseado. Las víctimas que cayeron en la estafa instalaron sin saberlo el software de acceso remoto, que luego los piratas informáticos utilizaron para obtener datos de acceso. Se desconoce si recopilaron estos datos para sí mismos o los vendieron a otros ciberdelincuentes. Sin embargo, lo que es seguro es que un compromiso exitoso abre la puerta a nuevos ataques, especialmente ataques de ransomware.
Se propaga a través de correos electrónicos no deseados que parecen engañosamente reales.
Las campañas de spam dirigidas a empresas de Polonia consistían en correos electrónicos con asuntos muy similares sobre ofertas B2B para las empresas víctimas. Para parecer lo más creíbles posible, los atacantes investigaron previamente los nombres de las empresas polacas existentes, así como los nombres y la información de contacto de los empleados y propietarios, que proporcionaron en sus correos electrónicos. Cuando las víctimas buscaron el nombre del remitente en línea, encontraron sitios web legítimos y estaban más dispuestas a abrir archivos adjuntos maliciosos.
Paralelamente a las campañas en Polonia, ESET registró campañas en curso en Eslovaquia, Bulgaria y Serbia. Los correos electrónicos no deseados aquí también fueron escritos en el idioma local. Además, también ha habido una oleada de correos electrónicos spam con Rescoms como carga útil en España.
Los países objetivo de los piratas informáticos cambiaron a lo largo de 2023
En el primer semestre de 2023, Perú, México, Egipto y Turquía fueron los más afectados por el malware disfrazado de AceCryptor. Perú registró la mayor cantidad de ataques con 4.700. La campaña del segundo semestre del año afectó principalmente a los países europeos.
Las muestras de AceCryptor que ESET examinó en la segunda mitad de 2023 a menudo contenían dos familias de malware como cargas útiles: Rescoms y SmokeLoader, una puerta trasera que permite a los ciberdelincuentes recargar malware adicional. SmokeLoader se utilizó con frecuencia en ataques cibernéticos en Ucrania. Sin embargo, en Polonia, Eslovaquia, Bulgaria y Serbia, la carga útil más común de Rescom era AceCryptor.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.