Te presentamos quién es y cómo actúa AdvancedIPSpyware, el nuevo y camaleónico virus que todas las empresas quieren evitar.
Conseguir información confidencial, robo de datos, dañar dispositivos y sistemas… qué duda cabe que empresas de todo el mundo están en el punto de mira de los hackers. Auténticos `profesionales´, cada día más sofisticados, que se las ingenian como nunca para conseguir su objetivo. De hecho, según un reciente estudio de la empresa Hiscox, dos de cada tres empresas españolas hackeadas pagan para recuperar los datos con un promedio de 78.000 euros.
En ocasiones, los trucos que utilizan estos ciberdelicuentes pueden llegar a pasar tan desapercibidos que las empresas no se dan cuenta hasta que ya han sido víctima de ellos. Es el caso de AdvancedIPSpyware, un backdoored que agrega un código malicioso a un software inofensivo con el objetivo de ocultar su actividad dañina. Pasa de manera oculta y es capaz de engañar al usuario.
La alarma ha saltado en un informe sobre crimeware hecho público por el gigante de ciberseguridad Kaspersky: y es que lo que es no frecuente es que el binario backdoored esté debidamente firmado.
Así es y así actúa AdvancedIPSpyware
En realidad, AdvancedIPSpyware es una versión backdoored de la herramienta real Advanced IP Scanner. Muy común entre los administradores de redes para controlar las LAN, AdvancedIPSpyware utilizó un certificado robado con el que se firmó el malware, alojado en dos sitios, cuyos dominios son casi idénticos a los del sitio web de Advanced IP Scanner, diferenciándose sólo por una letra. También las webs tienen el mismo aspecto, salvo una diferencia: el botón de descarga gratuita en los sitios web maliciosos.
Otra de las características de AdvancedIPSpyware es que su arquitectura es modular, que se ve normalmente en el malware financiado por algún estado, no en el de criminales. Aunque en el caso analizado por Kaspersky no fue así, no había ningún país detrás de él.
Sus víctimas cada vez son más numerosas. Ya hay usuarios que han sido infectados por todo el planeta: América Latina, África, Europa Occidental, el sur de Asia, Australia y los países de la CEI… en total (y por el momento) unas 80.
Otros peligros a tener en cuenta
AdvancedIPSpyware no es el único peligro al que se enfrentan usuarios y empresas. Dicho informe sobre crimeware también ha destacado otros dos. Uno de ellos es BlackBasta, un grupo de ransomware descubierto a principios de julio de 2022. El peligro de ésta está que incorpora una funcionalidad que dificulta el análisis forense y la detección, por lo que el malware puede propagarse a través de la propia red.
También CLoader, descubierto por primera vez en abril de 2022. En este caso, utiliza juegos y software crackeados como cebo para engañar a los usuarios y hacer que instalaran el malware. En este caso, los archivos descargados eran instaladores NSIS, que contenían código malicioso en el script de instalación.
Jornt van der Wiel, experto en seguridad de Kaspersky es claro: “El correo electrónico es el método de infección más común utilizado tanto por los ciberdelincuentes como por los Estados”.
Consejos de Kaspersky para protegerse contra ataques de ransomware
- No exponer los servicios de escritorio remoto (como RDP) a las redes públicas si no es absolutamente necesario. Hacer uso de contraseñas fuertes para ellos.
- Instalar inmediatamente los parches disponibles para las soluciones comerciales de VPN, que proporcionan acceso a los empleados remotos y actúan como puertas de enlace en la red.
- Mantener siempre el software actualizado en todos los dispositivos que se utilicen para evitar que el ransomware aproveche las vulnerabilidades.
- Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. Prestar especial atención también al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
- Hacer copias de seguridad de los datos con frecuencia. Asegurarse siempre de poder acceder rápidamente a ellos en caso de emergencia cuando se necesiten.
- Utilizar soluciones que ayudan a identificar y detener los ataques durante las primeras etapas, antes de que los atacantes alcancen sus objetivos finales.
- Educar a los empleados para proteger el entorno corporativo con, por ejemplo, cursos de formación en materia de ciberseguridad.
- Utilizar una solución de seguridad para endpoints fiable, con prevención de exploits, detección de comportamientos y un motor de remediación capaz de revertir las acciones maliciosas.
- Utilizar la información más reciente de Inteligencia de Amenazas para estar al tanto de los TTPs reales utilizados por los delincuentes.