La idea de cualquier malware dirigido a empresas iría más allá del alcance. Aquí, Varonis Threat Labs presenta 9 importantes variantes de malware que se han dirigido especialmente a la información en las empresas en los últimos años, en su mayoría troyanos de acceso remoto (RAT), ladrones de información o troyanos bancarios.
Además de una clara tendencia hacia el ransomware altamente individualizado, Varonis Threat Labs también ha notado una creciente propagación del llamado "malware básico" en el último año. Este término se refiere al malware que está disponible para su compra o descarga gratuita a gran escala, no está personalizado para víctimas individuales y es utilizado por una variedad de atacantes diferentes. Según las observaciones de los investigadores de seguridad, entre la enorme cantidad de variantes de malware disponibles, las siguientes nueve en particular juegan un papel destacado.
njRAT: troyano de acceso remoto (RAT)
Observado por primera vez a finales de 2012 o principios de 2013, njRAT es un troyano de acceso remoto (RAT) generalizado desarrollado originalmente por la banda de ciberdelincuencia Sparclyheason. El código fuente de esta RAT ya se publicó en mayo de 2013. Como resultado, es utilizado principalmente por ciberdelincuentes menos expertos. Se han publicado numerosas guías y tutoriales sobre cómo usarlo en foros clandestinos y en YouTube. njRAT todavía está muy extendido y se distribuye principalmente a través de campañas de spam. También se encuentra en versiones 'troyanizadas' de aplicaciones legítimas descargadas de fuentes sospechosas y sitios web de intercambio de archivos.
Al igual que otros programas RAT populares, njRAT ofrece capacidades de monitoreo y control remoto, así como la capacidad de transferir y ejecutar archivos, manipular el registro y acceder a un shell remoto. Además, la RAT puede grabar audio y video de forma remota a través de cámaras web y micrófonos conectados, así como usar funciones de registro de teclas y robo de contraseñas.
Libro de formularios (XLoader)
Formbook se observó por primera vez a principios de 2016 y pasó a llamarse XLoader en 2020. Formbook está disponible como malware como servicio en foros clandestinos y es comúnmente utilizado por atacantes menos calificados para robar credenciales u otros datos de las víctimas.
La difusión de Formbook siguió aumentando en 2021, posiblemente debido a su disponibilidad, bajo costo y facilidad de uso. Originalmente, Formbook solo estaba destinado a Windows. Sin embargo, desde la introducción de XLoader, también se admite Apple macOS. Además de sus capacidades de robo de credenciales, Formbook también incluye algunas características similares a RAT, como la capacidad de transferir y ejecutar cargas útiles y forzar un reinicio o apagado del sistema. En este sentido, Formbook también es adecuado como punto de entrada para propagar cargas maliciosas y también para lograr otros objetivos más allá del robo de datos.
NanoCore - Troyano de acceso remoto (RAT)
NanoCore se descubrió por primera vez en 2013 y se podía comprar por alrededor de $25. Las versiones "crackeadas" ahora también están muy extendidas en la clandestinidad del cibercrimen. El malware ofrece funciones RAT típicas que pueden complementarse con una arquitectura modular. Los complementos se pueden utilizar para ampliar significativamente la funcionalidad. Gracias a la disponibilidad de versiones crackeadas y filtradas, NanoCore todavía se usa ampliamente en la actualidad. La distribución suele realizarse a través de correos de phishing y copias pirateadas infectadas.
Lokibot - Ladrón de información
Lokibot (también conocido como Loki y LokiPWS) es un ladrón de información que apareció por primera vez a mediados de 2015 y se vendió inicialmente en foros de ciberdelincuencia por hasta $400 antes de que se filtrara su código fuente. Admite módulos adicionales como un registrador de teclas y funciones de robo de billetera de criptomonedas. Más recientemente, se ha observado a menudo en relación con las campañas de phishing de COVID-19.
Remcos - Troyano de acceso remoto (RAT)
Remcos se comercializa como una herramienta de acceso remoto comercial "legítima" y sus desarrolladores la actualizan periódicamente. Remcos es uno de los troyanos de acceso remoto más extendidos y, al igual que herramientas similares, está dirigido principalmente a atacantes sin experiencia que pueden obtener más información sobre el malware en numerosos tutoriales de YouTube. Sin embargo, muchos atacantes profesionales también utilizan Remcos para evitar tener que desarrollar sus propias herramientas y poder concentrarse en las otras fases de su ataque.
Además de las funciones estándar de RAT, Remcos ofrece una función de "secuencias de comandos remotas" que permite que el código se ejecute simultáneamente en varios hosts. Además, los usuarios de Remcos pueden comprar servicios adicionales de los desarrolladores, p. B. un correo masivo para enviar correos electrónicos de phishing y un servicio de DNS dinámico. Esto proporciona un único nombre de host que facilita el acceso al host de comando y control (C2) y permite a los atacantes actualizar su dirección IP sin tener que actualizar el binario Remcos.
AZORult - Ladrón de información
Descubierto por primera vez a principios de 2016, AZORult es un ladrón de información que a menudo se distribuye a través de campañas malspam que abordan temas de actualidad o se disfrazan como comunicaciones comerciales legítimas. Distribuye principalmente documentos de Microsoft Office con macros maliciosas. Cuando las víctimas habilitan las macros, la infraestructura de comando y control de los atacantes descarga la carga útil maliciosa. Luego lanza AZORult para robar datos confidenciales, incluidas las credenciales de inicio de sesión, los detalles de la tarjeta de pago, los datos de navegación y las billeteras de criptomonedas antes de enviarlos al C2 y desactivarse.
AZORult a menudo ocurre junto con otros ataques, la mayoría de los cuales tienen otros objetivos. Además de disfrazarse de comunicaciones comerciales, la proliferación a menudo ocurre a través de "cracks" infectados u otro contenido cuestionable, a menudo asociado con la infracción de derechos de autor.
Netwire - Troyano de acceso remoto (RAT)
Netwire se identificó por primera vez en 2012 y está muy extendido. El troyano de acceso remoto (RAT) a menudo se distribuye a través de campañas de phishing que se hacen pasar por confirmaciones de pedidos o notificaciones de seguimiento. Además de las funciones RAT estándar, Netwire tiene una función para leer tarjetas de pago desde 2016. Esto se dirige específicamente a los dispositivos de pago en las tiendas.
Netwire utiliza un cifrado especial para su tráfico de comando y control para evadir la detección y complicar las investigaciones. Los datos robados se cifran antes de la transmisión.
Danabot - Troyano bancario
Danabot es un troyano bancario modular que originalmente fue utilizado por un solo grupo y ahora se vende a otros ciberdelincuentes como Malware-as-a-Service (MaaS). Inicialmente, Danabot se centró en robar credenciales, cuentas de criptomonedas y credenciales bancarias a través de inyecciones web. Sin embargo, la arquitectura modular permite que el malware se personalice fácilmente y se utilice de diversas formas. Por ejemplo, las funciones de cifrado RAT y ransomware están disponibles.
En octubre de 2021, se comprometió y modificó un paquete NPM para la popular biblioteca de JavaScript UAParser.js para descargar y ejecutar Danabot junto con un criptominero. El paquete legítimo se descarga entre XNUMX y XNUMX millones de veces por semana, lo que demuestra el enorme impacto de un ataque a la cadena de suministro.
Emotet: malware, espía, descargador, ransomware
Emotet es probablemente uno de los programas maliciosos más conocidos. Emotet se desarrolló originalmente como un troyano bancario. Aunque Emotet conservó algunas capacidades básicas de robo de información, el malware evolucionó a lo largo de los años hasta convertirse en un descargador de otras cargas útiles maliciosas. Los actores detrás de Emotet también ofrecieron su botnet como servicio, convirtiéndose en un distribuidor líder de otras amenazas populares como el ransomware Ryuk.
Mientras tanto, Emotet también se ha calmado un poco debido a un derribo internacional por parte de varias agencias de aplicación de la ley. Sin embargo, las actividades están aumentando nuevamente, a veces bajo nuevos nombres y en diferentes constelaciones.
Más en Varonis.com
Sobre Varonis Desde su fundación en 2005, Varonis ha adoptado un enfoque diferente para la mayoría de los proveedores de seguridad de TI al colocar los datos corporativos almacenados tanto en las instalaciones como en la nube en el centro de su estrategia de seguridad: archivos y correos electrónicos confidenciales, información confidencial de clientes, pacientes y pacientes. Registros de empleados, registros financieros, planes estratégicos y de productos, y otra propiedad intelectual. La plataforma de seguridad de datos (DSP) de Varonis detecta amenazas internas y ataques cibernéticos mediante el análisis de datos, la actividad de la cuenta, la telemetría y el comportamiento del usuario, previene o mitiga las infracciones de seguridad de los datos mediante el bloqueo de datos confidenciales, regulados y obsoletos, y mantiene un estado seguro de los sistemas. a través de una automatización eficiente.,