Akira Ransomware: Una fuerza cambiante en el dominio de RaaS

Akira Ransomware: Una fuerza cambiante en el dominio de RaaS

Akira es un grupo de Ransomware as a Service (RaaS) que surgió en marzo de 2023. Desde entonces, el grupo ha participado en un gran volumen de campañas, particularmente en el último año. En abril de 2024, se estimó que Akira adquirió una suma de más de 42 millones de dólares en pagos de rescate. Solo en 2024, se han reportado más de 300 ataques. Los gráficos a continuación muestran el número total de víctimas de Akira por año, el número de víctimas de Akira por mes en 2024 y los principales países afectados por Akira hasta la fecha.

Victimología y Afiliación

Las víctimas de Akira abarcan una variedad de organizaciones, incluyendo empresas manufactureras, empresas de ingeniería y agrícolas, proveedores de servicios financieros e instituciones de educación superior. Muchas de las víctimas de Akira incluyen organizaciones con sede en países occidentales, como Estados Unidos, que constituye el mayor grupo demográfico de víctimas, seguido de Canadá, el Reino Unido y organizaciones con sede en Alemania.

El nombre Akira puede evocar gratos recuerdos para algunos de una película de anime de ciencia ficción llena de acción del mismo nombre que se estrenó en 1988. Sin embargo, no se han identificado referencias operativas ni culturales que vinculen los motivos y movimientos del actor de ransomware con los de un sindicato de ciberdelincuencia japonés o del este asiático. En cambio, Akira es un actor de amenazas que probablemente esté asociado con Rusia. Este desarrollo se produjo una vez que los analistas de seguridad descubrieron que el código malicioso de Akira estaba diseñado de manera que evitara que se ejecutara en sistemas que estaban equipados con un teclado en idioma ruso. La correspondencia con miembros de Akira se encontró en foros rusos en 2022. Si bien ha habido una reducción en el uso de foros clandestinos en favor de otras opciones semi-anónimas como Tox y Telegram, muchos grupos de ransomware mantienen cuentas en foros de hackers y mercados criminales en un esfuerzo por llegar a posibles afiliados y generar más interés.

Atacando Múltiples Sistemas Operativos y Desarrollando Diferentes Payloads

Akira tiene una extensa historia de alteración de los tipos de payloads que utilizan en sus operaciones. En marzo de 2023, cuando se descubrieron los primeros incidentes de Akira, Akira lanzó ataques de ransomware que se dirigían a sistemas Windows. El cifrador asociado con estos ataques fue construido en C++ y añadió .akira a los archivos afectados. Poco después de abril de 2023, el grupo cambió de marcha para lanzar ataques con un payload de Linux diseñado para cifrar servidores VMware ESXi.

En agosto de 2023, Akira implementó Megazord para atacar sistemas Windows. Esta variante difería de la versión anterior que se dirigía a sistemas Windows, ya que estaba compilada en Rust y añadía la extensión .powerranges a los archivos cifrados en lugar de .akira. Casi al mismo tiempo, Akira desarrolló un payload para atacar servidores VMware ESXi y sistemas Linux utilizando una iteración del ransomware conocida como Akira v2.

En abril de 2024, Akira volvió a la forma, utilizando un payload de ransomware escrito en C++ para cifrar los datos de las víctimas y añadir la extensión .akira a los archivos afectados.

Akira v2

A diferencia de sus versiones anteriores de principios de 2023, Akira v2 está escrito en Rust y está diseñado para localizar archivos para cifrar en función de parámetros específicos. El ransomware Akira v2 también añade la extensión .akiranew a los archivos afectados. Dado que el cifrado de archivos puede adaptarse más a un tipo de archivo específico, los datos que se pueden cifrar se extienden más allá de los tipos de archivo reportados en iteraciones anteriores que han sido objetivo del ransomware Akira, por ejemplo, .ade, .ckp, .ddpl, .edb .sq, y .vdh–estos son tipos de archivo asociados con archivos de proyectos de bases de datos, medios ópticos, la base de datos de buzones de Exchange y discos duros virtuales.

El cifrado de archivos, específicamente aquellos que terminan en .edb y .vdh puede resultar en mayores consecuencias ya que .edb es un tipo de archivo que almacena datos pertinentes al entorno del servidor Exchange de Microsoft. Y, .vdh es un archivo de disco duro virtual que interactúa con el software de virtualización. A pesar de que se puede cifrar una variedad de tipos de archivos comunes de documentos y bases de datos que son pertinentes para administrar máquinas virtuales en hosts Windows o Linux, incluyendo .vdi, .vmdk, vmem, .vmsn, vmsd, .vmx, .vhdx, .vsv, .avhd, .vmrs, .vhdx, .avdx y .vmcx al ser descubiertos, la capacidad de personalización para encontrar otros archivos hace que el ransomware sea letal.

El Presente: ¿Es Esta una Era Post v2?

Akira v2 vería un resurgimiento después de la primavera de 2024. Sin embargo, en octubre de 2024, los informes documentaron nuevos cambios en las tácticas de Akira con una cepa que ascendería para unirse a la v2 de Akira basada en Rust entre el número de incidentes de Akira en aumento. El actor de amenazas implementó varios cambios en la cepa del ransomware, incluido un regreso al código escrito en C++ y el uso de ChaCha8.

Si bien pueden ocurrir menos instancias de la iteración v2 y Megazord desde los informes iniciales de sus detecciones, esas versiones aún se identifican en la naturaleza. También es importante tener en cuenta que otros grupos de ransomware como Cicada3301 y Qiilin han utilizado payloads de ransomware escritos en Rust para hacer que las acciones de desmontaje y detección de malware sean mucho más desafiantes.

Sitio de Filtración de Datos y Nota de Ransomware de Akira

El sitio de filtración de datos de Akira presenta una interfaz de línea de comandos. Un usuario puede ingresar comandos en el sitio de filtración de datos como leaks para generar una lista de información filtrada y news para devolver información sobre filtraciones o víctimas que se aproximan.

Las URL se incluyen en el área de Leaks en el sitio de filtraciones de datos, lo que permite a los usuarios acceder al contenido robado. Los usuarios que deseen descargar las filtraciones pueden hacerlo a través de un cliente de torrent. También se proporcionan archivos de almacenamiento que contienen filtraciones, algunas filtraciones están protegidas por contraseña. Sin embargo, las contraseñas se proporcionan con información sobre cada torrent.

Figura 1: Sitio de fuga de datos de Akira – página de entrada
Figura 2: Página de destino del canal de correspondencia de chat para víctimas

En notas de ransomware anteriores, Akira ha indicado a las víctimas que se comuniquen con ellos para obtener más información, vinculando una página web y proporcionando un ID de chat único.

El uso de un ID de chat de este tipo parece haber caído en desuso, posiblemente debido a la funcionalidad actual del sitio web principal de Akira, que incluye un argumento de «contact us» en su interfaz de línea de comandos. Este argumento acepta nombres y contenido de mensajes, que luego se envían directamente al soporte.

Akira anima a las víctimas a ponerse en contacto con ellos para obtener más detalles sobre cómo recuperarse de un incidente, proporcionando un nombre y un correo electrónico a través de la interfaz de línea de comandos del sitio de filtraciones de datos. El actor de amenazas menciona que se puede poner a disposición de las organizaciones afectadas que se pongan en contacto con ellos directamente un descifrador de prueba de muestra.

El contenido de la nota de ransomware de Akira indica la voluntad de comprender los ingresos de una organización y negociar si es necesario, lo que se ilustra en el siguiente extracto:

Además, hemos tomado una gran cantidad de sus datos corporativos antes del cifrado, por ahora guardemos todas las lágrimas y el resentimiento para nosotros mismos e intentemos construir un diálogo constructivo… Tratando con nosotros ahorrará MUCHO debido a que no estamos interesados en arruinarlo financieramente.

Estudiaremos en profundidad sus finanzas, estados de cuenta bancarios y de ingresos, sus ahorros, inversiones, etc. Y le presentaremos nuestra cantidad razonable. Si tiene un seguro cibernético activo, háganoslo saber y lo guiaremos sobre cómo usarlo correctamente. Además, prolongar el proceso de negociación conducirá al fracaso de un trato.

Tácticas

La siguiente sección proporciona más información sobre las tácticas utilizadas por Akira y las asignaciones de esos patrones al framework MITRE ATT&CK.

Acceso Inicial

Conocido por explotar vulnerabilidades comunes, incluidas las que afectan a las herramientas de acceso remoto y las aplicaciones externas, Akira ha establecido el acceso inicial al apuntar a fallas en los productos de firewall y VPN y los servicios en la nube.

Este año, las vulnerabilidades notables aprovechadas en los ataques de Akira incluyeron CVE-2024-37085 y CVE-2024-40711, que afectan a los servidores ESXi y al servicio de respaldo de Veeam, respectivamente. El actor de amenazas ha utilizado herramientas como Veeam-Get-Creds y Veeam Hax para obtener y administrar la filtración de credenciales a los servidores de Veeam.

Los entornos compuestos por productos SonicWall equipados con SonicOS también fueron afectados por el ransomware Akira este año; CVE-2024-40766 es la vulnerabilidad que se explotó en esos ataques.

Akira también ha establecido el acceso inicial aprovechando las credenciales comprometidas u obteniéndolas por otros medios, por ejemplo, un corredor de acceso inicial.

Descubrimiento

Akira realiza actividades esenciales de descubrimiento y reconocimiento de host mediante la implementación de herramientas como escáneres de IP y Adfind para iniciar consultas que obtienen datos sobre el ecosistema de Active Directory.

Akira también es capaz de descubrir procesos en ejecución, herramientas de seguridad y el idioma del sistema de destino. Estas tareas se realizan normalmente aprovechando las interacciones con las API de Microsoft.

Ejecución

Se coloca un archivo de ransomware en una máquina víctima; los ejecutables maliciosos como w.exe y win.exe se asociaron con capacidades de cifrado en las campañas de Akira, además de los archivos .ELF que se utilizaron para atacar sistemas Linux.

Persistencia

Akira establece la persistencia mediante la creación de claves de registro y la modificación de la configuración del host. En los ataques que primero explotan las credenciales filtradas y las debilidades que impactan en el controlador de dominio, el actor de amenazas configura cuentas de dominio para mantener una presencia más fuerte.

Movimiento Lateral

La creación de cuentas por parte de Akira, como una cuenta de respaldo asociada con Veeam, y su uso de herramientas para extraer credenciales les ayudan a realizar acciones de movimiento lateral.

Evasión de la Defensa

El ransomware Akira es capaz de detectar y evadir depuradores; también se caracteriza por elementos de codificación, incluida la codificación Base64 y la ofuscación para ocultar archivos y procesos. En una iteración reciente de Akira, se introdujo un componente que restringe su ejecución en un entorno de análisis; ese componente es el uso de una ID de compilación única.

Inhibición de la recuperación del sistema

Akira es capaz de eliminar instantáneas de volumen; esa es una acción que se puede lograr a través de un script de PowerShell. El script hace referencia a un comando que elimina las instantáneas de volumen después de ubicarlas a través de una interacción con WMI. Las organizaciones que utilizan copias de seguridad que no se evalúan a nivel de archivo y dependen de instantáneas de volumen enfrentarán una pérdida perjudicial si son víctimas de un ataque de ransomware Akira.

La variante de ransomware Linux ESXI también permite al atacante invocar un comando vmonly para limitar el alcance de su ataque a máquinas virtuales y un comando stopvm para terminar máquinas virtuales activas.

Impacto

El cifrado y la exfiltración son las acciones resultantes en los ataques de ransomware de Akira. El actor de amenazas utiliza herramientas como WinSCP y Rclone para exfiltrar datos.

¿Qué está por venir?

A medida que el ransomware Akira continúa afectando a organizaciones en todo el mundo, es importante que las organizaciones monitoreen sus ecosistemas en busca de patrones de compromiso y se mantengan informadas sobre las diferentes cepas activas de ransomware Akira. Eso incluye no solo v2 y Megazord, sino también el último código de ransomware. Akira experimentó un gran crecimiento en sus incidentes por mes poco después de la primera mitad de 2024. Esperamos que este patrón de crecimiento continúe en 2025.

Recomendaciones

  • Implementar medidas de respaldo y recuperación: programe copias de seguridad periódicas, asegúrese de que se prueben y mantenga las copias de seguridad en un sistema separado de la red principal. Se recomienda que las copias de seguridad se almacenen en una ubicación fuera de línea y / o en un entorno de nube.
  • Establecer controles de protección de red: aplicar la defensa contra ataques de red y la segmentación de la red: segmente las redes para limitar los resultados del movimiento lateral si un punto final está comprometido y asegúrese de que los sistemas críticos no interactúen con los recursos que pueden tener una amplia superficie de ataque.
  • Realizar la gestión de parches: evaluar periódicamente los parches y actualizaciones para implementar, priorizándolos en función de su impacto en los activos de la organización.
  • Implementar soluciones de seguridad de correo electrónico: utilice soluciones de filtrado de correo electrónico para bloquear correos electrónicos, archivos adjuntos y enlaces maliciosos. Agregue más protección habilitando el sandboxing de archivos adjuntos; esto permite que se ejecute un análisis en tiempo real, identificando proactivamente el ransomware contenido en los archivos adjuntos antes de que el archivo adjunto se entregue a un usuario.
  • Ejecutar un plan de respuesta a incidentes: la respuesta rápida es una parte vital de la protección y mitigación del ransomware. Un enfoque oportuno y proactivo es significativo al realizar acciones de respuesta a incidentes. Asegúrese de que el equipo de seguridad cuente con las personas, los procesos y las tecnologías necesarios para investigar y responder a fondo a un incidente, por ejemplo, bloquear IP, detener procesos o aislar hosts para cortar el acceso de un atacante a datos y recursos críticos y evitar una mayor explotación.
  • Implementar soluciones de detección y respuesta de endpoints (EDR): utilice tecnologías EDR y / o MDR que aprovechen la supervisión activa utilizando detecciones tanto conductuales como heurísticas para garantizar que los vectores de infección iniciales se detecten con precisión y se escalen para su investigación. Habilite la detección de amenazas en tiempo real y las respuestas automatizadas para permitir que se ejecuten contramedidas como acciones de bloqueo y aislamiento contra dispositivos comprometidos en un incidente de ransomware.
  • Aprovechar la inteligencia de amenazas operativas: la solución de inteligencia de amenazas adecuada puede proporcionar información crítica sobre los ataques. Bitdefender IntelliZone es una solución fácil de usar que consolida todo el conocimiento que hemos recopilado con respecto a las amenazas cibernéticas y los actores de amenazas asociados en un solo panel de vidrio para los analistas de seguridad, incluido el acceso al servicio de análisis de malware de próxima generación de Bitdefender.
  • Si ya tiene una cuenta de IntelliZone, puede encontrar información estructurada adicional en las ID de amenazas que incluyen: BD1v4nw4su, BDcrena0eu, BDc7c2411y, BD80wyffwi, BD0sod05yv, BDx5nkwaqw y BDqy7jftkp.
  • Acceso remoto seguro: aplique la autenticación multifactor (MFA) para todos los puntos de acceso remoto, incluidas las VPN y RDP. Utilice una VPN o una puerta de enlace de acceso seguro para usuarios remotos en lugar de exponer RDP directamente a Internet.

Indicadores de Compromiso

Akira (Windows Executable File)

SHA256 Hashes
88da2b1cee373d5f11949c1ade22af0badf16591a871978a9e02f70480e547b2
566ef5484da0a93c87dd0cb0a950a7cff4ab013175289cd5fccf9dd7ea430739
ccda8247360a85b6c076527e438a995757b6cdf5530f38e125915d31291c00d5
87b4020bcd3fad1f5711e6801ca269ef5852256eeaf350f4dde2dc46c576262d
78d75669390e4177597faf9271ce3ad3a16a3652e145913dbfa9a5951972fcb0
2c7aeac07ce7f03b74952e0e243bd52f2bfa60fadc92dd71a6a1fee2d14cdd77
988776358d0e45a4907dc1f4906a916f1b3595a31fa44d8e04e563a32557eb42

Megazord

SHA256 Hashes
dfe6fddc67bdc93b9947430b966da2877fda094edf3e21e6f0ba98a84bc53198
28cea00267fa30fb63e80a3c3b193bd9cd2a3d46dd9ae6cede5f932ac15c7e2e
c9c94ac5e1991a7db42c7973e328fceeb6f163d9f644031bdfd4123c7b3898b0
0c0e0f9b09b80d87ebc88e2870907b6cacb4cd7703584baf8f2be1fd9438696d
95477703e789e6182096a09bc98853e0a70b680a4f19fa2bf86cbb9280e8ec5a

Akira: (Linux Executable File)

SHA256 Hashes
3805f299d33ef43d17a5a1040149f0e5e2d5db57ec6f03c5687ac23db1f77a30
abba655df92e99a15ddcde1d196ff4393a13dbff293e45f5375a2f61c84a2c7b
a546ef13e8a71a8b5f0803075382eb0311d0d8dbae3f08bac0b2f4250af8add0
Investigación de Bitdefender Labs sobre una campaña publicitaria maliciosa en Facebook dirigida a usuarios de Bitwarden

Investigación de Bitdefender Labs sobre una campaña publicitaria maliciosa en Facebook dirigida a usuarios de Bitwarden

A lo largo de 2024, Bitdefender Labs ha estado monitoreando de cerca una serie de campañas de publicidad maliciosa que explotan plataformas populares para distribuir malware. Estas campañas utilizan anuncios falsos para engañar a los usuarios e instalar software malicioso disfrazado de aplicaciones legítimas o actualizaciones.

Una de las campañas más recientes descubiertas por Bitdefender Labs involucra una extensión falsa de Bitwarden anunciada en la plataforma de redes sociales Facebook de Meta. La campaña engaña a los usuarios para que instalen una extensión de navegador dañina bajo la apariencia de una actualización de seguridad.

Hallazgos clave incluyen:

  • Explotación de la plataforma: Los atacantes están aprovechando la plataforma publicitaria de Facebook para entregar anuncios que parecen legítimos pero que conducen a un sitio web malicioso.
  • Suplantación de marcas reputadas: La campaña suplanta a Bitwarden, un popular gestor de contraseñas, para generar confianza y crear un sentido de urgencia al instar a los usuarios a instalar una supuesta «actualización de seguridad».
  • Demografía objetivo específica: Lanzada el 3 de noviembre de 2024, esta campaña apunta específicamente a consumidores de entre 18 y 65 años en toda Europa.
  • Alcance actual y potencial de expansión global: Los anuncios maliciosos ya se han mostrado a miles de usuarios y podrían expandirse aún más. Si no se controla, esta campaña podría escalar a nivel mundial, afectando a usuarios en todo el mundo.
  • Uso de cadenas de redirección: Los usuarios que hacen clic en estos anuncios son redirigidos a través de múltiples sitios, llegando finalmente a una página de phishing que imita la Chrome Web Store oficial para ocultar la intención maliciosa del anuncio.
  • Recolección de datos en cuentas personales y comerciales: El malware recopila datos personales y apunta a cuentas comerciales de Facebook, lo que podría llevar a pérdidas financieras para individuos y empresas.

Una vez más, esta campaña destaca cómo los actores maliciosos explotan plataformas de confianza como Facebook para atraer a los usuarios a comprometer su propia seguridad. Al hacerse pasar por una herramienta confiable e imitar notificaciones urgentes de actualización, los ciberdelincuentes obtienen acceso a información personal y comercial valiosa.

Gracias a la investigación de Bitdefender Labs, ahora tenemos una comprensión más clara de las tácticas en evolución utilizadas en este tipo de ataques:

1. Primer paso: Anuncios falsos para atraer a los usuarios

El ataque comienza con un anuncio engañoso en Facebook que advierte a los usuarios que sus contraseñas están en riesgo y los insta a actualizar su extensión de navegador Bitwarden. El anuncio parece legítimo, utilizando la marca de Bitwarden y un lenguaje urgente, como «¡Advertencia: Sus contraseñas están en riesgo!» para incitar a los usuarios a actuar.

Al hacer clic en el anuncio, los usuarios son llevados a una página web falsa diseñada para imitar la Chrome Web Store oficial. Cuando los usuarios hacen clic en «Agregar a Chrome», son redirigidos a un enlace de Google Drive que contiene un archivo zip con la extensión maliciosa. Los atacantes guían a los usuarios a través de un proceso para instalar la extensión mediante:

  • Descomprimir el archivo
  • Ir a la configuración de extensiones de su navegador a través de chrome://extensions
  • Habilitar el Modo Desarrollador
  • Cargar manualmente la extensión descomprimida (sideloading).

Este método manipula a los usuarios para que pasen por alto las comprobaciones de seguridad del navegador, permitiendo que el malware se instale sin ser detectado.


2. Detalles de la extensión maliciosa: Acceso completo y permisos sospechosos

Una vez instalada, la extensión maliciosa solicita permisos extensivos que le permiten interceptar y manipular las actividades en línea del usuario. Un análisis más detallado del archivo manifest de la extensión revela permisos para operar en todos los sitios web, modificar solicitudes de red y acceder al almacenamiento y las cookies. Aspectos clave del manifest incluyen:

{
    "name": "Bitwarden Password Manager",
    "version": "0.0.1",
    "manifest_version": 3,
    "background": {
        "service_worker": "service-worker-loader.js",
        "type": "module"
    },
    "permissions": [
        "contextMenus",
        "storage",
        "cookies",
        "tabs",
        "declarativeNetRequest",
        "webNavigation",
        "webRequest",
        "management"
    ]
}

El script service-worker-loader.js de la extensión inicia background.js, el componente principal que impulsa las operaciones maliciosas. Además, popup.js, un script ofuscado, se carga cuando los usuarios hacen clic en el ícono de la extensión en su navegador, permitiéndole:

  • Acceder a las cookies de https://facebook.com, específicamente la cookie ‘c_user’ que contiene el ID de usuario.
  • Manipular el DOM del navegador para mostrar mensajes de carga falsos para legitimidad o engaño.

3. Background Worker: Recopilación y Exfiltración de Datos

El script background.js, que se activa al instalar la extensión, es el núcleo de este ataque.

javascriptCopiarEditarchrome.runtime.onInstalled.addListener(async details => {
    getFacebookCookies();
});

Así es como funciona:

  • Recolección de Cookies: Al instalarse, background.js llama a getFacebookCookies() para buscar cookies de Facebook. Si se encuentran, recoge más datos utilizando la función collectData().
  • Recopilación de Datos de IP y Geolocalización: La extensión consulta servicios como https://api.ipify.org y https://freeipapi.com para obtener datos de IP y ubicación.
  • Extracción de Datos de Facebook: A través de la Graph API de Facebook, el malware obtiene datos del usuario, incluyendo:
    • Detalles personales como el ID de usuario y el nombre.
    • Información de cuentas comerciales y cuentas publicitarias.
    • Detalles de tarjetas de crédito y facturación asociadas a las cuentas publicitarias.

Una vez recolectados, los datos se envían a una URL de Google Script, que actúa como el servidor de comando y control (C2) para los atacantes. La función sendData() maneja la exfiltración de los datos al codificarlos y transmitir la información sensible.


4. Estrategias de Detección y Defensa

Detectar y mitigar este ataque es un desafío para los equipos de ciberseguridad debido a su dependencia de plataformas legítimas como Facebook y Google Drive. Aquí hay algunas ideas de detección para profesionales de seguridad:

  • Monitorear Permisos Sospechosos: Los permisos declarativeNetRequest y webRequest, junto con el acceso a cookies, son fuertes indicadores de un posible malware.
  • Firmas Comportamentales: Funciones ofuscadas como chrome.runtime.onInstalled.addListener y llamadas a las APIs de graph.facebook.com pueden servir como indicadores de compromiso (IoCs).

Consejos de Seguridad para los Usuarios

Para protegerse de campañas de malvertising similares, sigue estos consejos esenciales de seguridad:

  • Verificar Actualizaciones de Extensiones: Siempre actualiza las extensiones directamente desde tiendas oficiales de navegadores (por ejemplo, Chrome Web Store) y no desde anuncios o enlaces de terceros.
  • Revisar Anuncios y Enlaces: Ten precaución con los anuncios patrocinados en redes sociales, especialmente aquellos que requieren acción inmediata o actualizaciones para herramientas de seguridad.
  • Comprobar Permisos de Extensiones: Antes de instalar o actualizar una extensión, revisa sus permisos. Las extensiones que solicitan acceso a cookies, solicitudes de red o todos los datos de sitios web pueden ser maliciosas.
  • Habilitar Funciones de Seguridad: Utiliza configuraciones de seguridad del navegador, como desactivar el Modo Desarrollador cuando no esté en uso, para evitar la instalación no autorizada de extensiones.
  • Reportar Anuncios Sospechosos: Si encuentras anuncios engañosos o maliciosos en redes sociales, repórtalos a la plataforma para ayudar a prevenir la propagación de ataques similares.

Consejo Pro: Usa Bitdefender Scamio para evitar estafas y anuncios maliciosos.

Bitdefender Scamio es una herramienta gratuita de detección de estafas que puedes usar para comprobar si los enlaces o mensajes que ves en línea son parte de una estafa. Está disponible en Facebook Messenger, WhatsApp, tu navegador web y Discord.

Veamos qué dijo Scamio sobre el anuncio:

También puedes ayudar a otros a mantenerse seguros compartiendo Scamio con ellos en Francia, Alemania, España, Italia, Rumania, Australia y el Reino Unido.

Además, con el lanzamiento de nuestro nuevo Scam Copilot, puedes obtener protección integral contra estafas en todos tus dispositivos, con acceso a tu chatbot personal de asesor de estafas, alertas de olas de estafas en tu área, detección en tiempo real de estafas en tus actividades de navegación y protección contra acceso remoto, entre otros. Las funciones de Scam Copilot, junto con nuestra galardonada protección contra malware, se encuentran en nuestras soluciones de seguridad todo-en-uno.

Fuente: https://www.bitdefender.com/en-us/blog/labs/inside-bitdefender-labs-investigation-of-a-malicious-facebook-ad-campaign-targeting-bitwarden-users

Las diferencias entre el Análisis Estático y Dinámico de Malware

Las diferencias entre el Análisis Estático y Dinámico de Malware

A medida que las personas y las empresas se vuelven más dependientes de la tecnología, el malware se convierte cada vez más en una amenaza significativa para las organizaciones y los individuos por igual.

Al mismo tiempo, las nuevas tecnologías han facilitado aún más a los delincuentes la creación de nuevo malware. Por ejemplo, los ciberdelincuentes están utilizando asistentes de inteligencia artificial como ChatGPT para crear programas maliciosos. El Instituto AV Tech revela que detecta más de 450,000 nuevas versiones de malware cada día.

Para protegerse contra la creciente amenaza, los profesionales de ciberseguridad utilizan el análisis de malware para detectar y analizar el comportamiento, las características y las capacidades de programas maliciosos. Esto les permite comprender las amenazas que estos programas representan y desarrollar mecanismos defensivos y contramedidas para mitigar estas amenazas.

Existen dos tipos de técnicas de análisis de malware: estáticas y dinámicas. A continuación, examinemos las diferencias entre estas dos técnicas y exploremos sus fortalezas y debilidades.

¿Qué es el Análisis de Malware?

El análisis de malware es la inspección de los componentes principales y el código fuente de un malware para comprender su comportamiento, origen y acciones previstas, con el objetivo de mitigar sus posibles amenazas.

El malware se refiere a cualquier software intrusivo diseñado para infiltrarse en la computadora o la red de un usuario sin su consentimiento. Estos archivos intrusivos incluyen spyware, scareware, rootkits, worms, virus y Troyanos.

Los programas maliciosos pueden programarse para robar los datos de los usuarios, espiar sus actividades en línea o incluso dañar los archivos de su sistema. Por ejemplo, a principios de enero de 2023, Pepsi Bottling Ventures sufrió una violación de datos cuando un malware que robaba información personal se infiltró en su red.

De manera similar, la Ciudad de Oakland sufrió un ataque de ransomware que causó una interrupción en su red.

Análisis de Malware Estático

En el análisis de malware estático, los expertos en seguridad analizan un programa de malware sin ejecutar su código. El objetivo es identificar familias de malware, cómo opera el malware y sus capacidades.

Dado que no hay ejecución de código, el análisis de malware estático no requiere un entorno en vivo. Sin embargo, esto puede resultar en que los analistas pierdan información crítica sobre el malware que solo se puede descubrir observándolo en funcionamiento.

Aquí hay algunas características definitorias del análisis de malware estático:

  1. Es Rápido y Directo
    El análisis estático es directo porque los expertos solo tienen que evaluar las propiedades de la muestra de malware, como metadatos, cadenas, estructura y código.

Dado que no necesitan ejecutar el código, los analistas pueden identificar rápidamente la funcionalidad y las capacidades del malware. También se puede automatizar utilizando herramientas como desensambladores, decompiladores y depuradores para analizar rápidamente grandes cantidades de muestras de malware.

  1. Se Basa en Firmas
    El análisis de malware estático utiliza un enfoque de detección basado en firmas, que compara la huella digital del código de la muestra con una base de datos de firmas maliciosas conocidas. Cada malware tiene una huella digital única que lo identifica de manera única. Esto podría ser un hash criptográfico, un patrón binario o una cadena de datos.

Los programas antivirus funcionan de la misma manera. Escanean el malware revisando las huellas digitales digitales de firmas de malware conocidas y marcan el archivo como malware si se encuentran huellas digitales coincidentes.

Si bien el enfoque de análisis de malware basado en firmas es bueno para detectar firmas de malware conocidas, es poco fiable cuando se trata de malware nuevo o modificado.

El método también puede fallar al detectar muestras de malware programadas para activarse solo bajo ciertas condiciones, como las desencadenadas por el inicio de sesión de un usuario, la fecha, la hora o el tráfico de red.

  1. Técnicas Utilizadas
    El análisis de malware estático utiliza diferentes técnicas para comprender la naturaleza de una amenaza. Un enfoque es comparar la huella digital digital del binario de malware con bases de datos disponibles de firmas maliciosas.

Un técnico también puede utilizar un desensamblador o depurador para ingeniería inversa del binario y examinar su código. Alternativamente, algunos analistas realizan un análisis de malware estático extrayendo los metadatos de una muestra. Hacerlo revela detalles como comandos, nombres de archivos, mensajes, llamadas a API, claves de registro, URL y otros IOC.

Análisis de Malware Dinámico

El análisis de malware dinámico implica la ejecución del código de malware dentro de un entorno controlado y el monitoreo de cómo interactúa con el sistema. Esta aproximación permite a los analistas descubrir las verdaderas intenciones del malware y su capacidad para evadir la detección.

Este enfoque proporciona un informe más profundo y preciso, pero el proceso puede llevar más tiempo. También requiere herramientas especializadas y existe el riesgo de infectar el entorno de análisis con el malware.

El análisis de malware dinámico se caracteriza por:

  1. Requiere un Entorno Seguro
    Para ejecutar de manera segura el malware y observar sus actividades, los analistas de seguridad necesitan un entorno de prueba cerrado (Sandbox de malware) donde el malware pueda ejecutarse sin infectar todo el sistema o la red.
  2. Es Más Completo y Preciso
    El análisis dinámico se considera más preciso y completo que el análisis estático porque implica un análisis profundo del comportamiento.

Al observar el archivo sospechoso ejecutar cada uno de sus comandos, los analistas pueden obtener una visión profunda de la lógica, funcionalidad e indicadores de compromiso del malware. En otras palabras, muestra cosas que son más difíciles de detectar desde un análisis estático, como para qué se programó el malware, cómo se comunica y su mecanismo de evasión.

  1. Se Basa en el Comportamiento
    Mientras que el análisis estático utiliza la detección basada en firmas, el análisis dinámico utiliza un enfoque de detección basado en el comportamiento. El malware en constante evolución o nuevos tipos de malware pueden ser difíciles de detectar utilizando el en

Fuente: Bitdefender Enterprise

¿Su detección de malware está preparada para el futuro? 7 tecnologías adaptables para amenazas esquivas

¿Su detección de malware está preparada para el futuro? 7 tecnologías adaptables para amenazas esquivas

Si bien los medios de comunicación han cubierto ampliamente el reciente aumento de malware, parece que se ha minimizado cierto aspecto. Lo cierto es que no solo los ciberataques han crecido significativamente durante la pandemia (solo en marzo se violaron 832 millones de registros a través de malware ), sino que su complejidad también ha aumentado visiblemente.

El hecho de que las transacciones comerciales tuvieran que ser realizadas en línea por empleados remotos creó muchas vulnerabilidades que los equipos de respuesta a incidentes no pudieron cubrir a fondo. Esto permitió a los ciberdelincuentes volverse más sofisticados y audaces en sus enfoques.

Clop ransomware ahora puede deshabilitar la seguridad básica del sistema; Gameover Zeus usa redes P2P para transmitir literalmente sus datos, mientras que varios grupos de ciberdelincuentes comenzaron a escribir malware en Golang para evitar la detección convencional. Y si el aumento en los ataques globales a los sistemas de salud no fue una sorpresa, el grupo de ransomware Netwalker dio un paso más y atacó una ciudad austriaca entera con múltiples correos electrónicos de phishing.

Ahora está claro que la era de las infecciones de virus clásicas ha quedado atrás y que las herramientas de detección convencionales son incapaces de abordar el malware avanzado. Entonces, ¿qué puede hacer su equipo de seguridad para asegurarse de que no se les escape ninguna amenaza?

Además de una combinación sólida de detección convencional, seguridad de red e inteligencia de amenazas, debe estar atento a algunas capacidades antimalware al elegir un proveedor.

1. Análisis y análisis eficiente de archivos

El escaneo de archivos es una funcionalidad común a todos los motores antimalware. Aun así, no todos los escáneres de archivos nacen iguales, con analizadores y analizadores de archivos dedicados que diferencian claramente a los líderes de los rezagados.

En general, analizar un archivo significa poder extraer correctamente los diferentes datos presentes en el archivo. En otras palabras, el análisis permite que el motor antimalware escanee todos los datos relevantes de un archivo (como los scripts y las macros de un documento de MS-Office o un archivo .pdf, por ejemplo) y decida si esos datos representan una amenaza.

Esto mejora tanto la velocidad como la precisión de detección y permite la detección de amenazas ocultas (algunos archivos .pdf pueden tener archivos adjuntos adicionales o tener secuencias de comandos incrustadas). Un análisis tolerante a fallas también permite que el motor antimalware analice y escanee archivos dañados o descargados de forma incompleta, que un motor más simple ignoraría. Incluso los archivos incompletos a veces pueden abrirse e infectar al usuario, por lo que esta característica de seguridad es muy importante.

2. Análisis de archivo

Los archivos han sido el vector de ataque favorito de los ciberdelincuentes durante mucho tiempo. Esto se debe a que los archivos archivados se utilizan mucho a nivel empresarial y, por lo general, pueden evitar la detección del servidor de correo electrónico. Además, el término «archivo» cubre una amplia gama de formatos (prácticamente cualquier archivo que contenga otros archivos puede ser uno, como correos electrónicos con archivos adjuntos, imágenes ISO o instaladores de software) y estos formatos no siempre están cubiertos por los motores de escaneo clásicos. .

Si bien el escaneo dentro de los archivos no es una característica nueva, el escaneo a través de múltiples tipos de archivos, así como a través de archivos dañados, debe ser una prioridad en su lista.

3. Análisis del Desempaquetador

Al igual que el análisis de archivos, el análisis del desempaquetador es «imprescindible» para cualquier solución antimalware. A diferencia de los archivos comprimidos, los desempaquetadores se utilizan para desempaquetar el único ejecutable que se ha empaquetado con uno o más empaquetadores/ofuscadores gratuitos o comerciales, por lo que se modifican todos los parámetros binarios (código, tamaño, cadenas de texto, firmas).

Esto hace que los ejecutables empaquetados sean un vehículo común para los troyanos y el malware de puerta trasera. No solo reduce el tamaño del ejecutable, lo que agiliza la descarga de malware, sino que también cambia por completo el binario. Esto significa que cualquier detección dirigida al binario original, incluida la detección de aprendizaje automático, no funcionaría contra el contenido empaquetado a menos que se desempaquetara.

Dado que los desempaquetadores tienden a ser más diversos que los archivos, su proveedor debe ofrecer una forma de desempaquetarlos, ya sea mediante el uso de un desempaquetador relevante o ejecutándolos en un entorno seguro y verificando su contenido, a través de la emulación.

4. Emulación

Hablando de emulación, esta característica es vital cuando se lucha contra el malware polimórfico, ya que cada muestra de este malware es diferente de todas las demás. La capacidad de simular la ejecución del malware es vital a la hora de detectar el malware.

La emulación también puede ser increíblemente útil cuando se trata de archivos cuyos binarios han sido ofuscados (deliberadamente demasiado complejos para que los humanos los entiendan) o simplemente escritos en lenguajes menos comunes (como la amenaza Golang mencionada anteriormente). Con estos archivos, siempre es más rápido ejecutarlos en un entorno controlado, en lugar de tratar de descifrar el código, especialmente cuando el escaneo es sensible al tiempo.

5. Detección basada en heurística

Si bien los algoritmos de detección y las firmas son vitales para cualquier solución exitosa, también se debe incluir el escaneo basado en heurística. En lugar de confiar en la información existente, la heurística se basa en una combinación de comportamiento y análisis de patrones, así como en la emulación, analizando cualquier actividad anormal de software conocido y desconocido.

Las heurísticas eficientes conducen no solo al bloqueo de archivos maliciosos, sino también al descubrimiento de amenazas desconocidas.

6. Algoritmos de aprendizaje automático

Dado que el panorama de amenazas cambia continuamente, los algoritmos de detección también están en constante evolución. El aprendizaje automático garantiza que su solución haya estado y esté constantemente expuesta a una amplia variedad de situaciones que amenazan la seguridad, lo que minimiza los falsos positivos y mejora la respuesta a incidentes.

Las soluciones avanzadas utilizan algoritmos de aprendizaje automático basados ​​en redes más amplios, como redes neuronales y de aprendizaje profundo.

7. Detección basada en la nube

Los filtros locales son su primera línea de defensa, pero su proveedor debe ofrecer acceso a actualizaciones basadas en la nube y a Threat Intelligence para garantizar que las amenazas novedosas se informen en tiempo real.

La principal ventaja de un sistema de este tipo es que permite la detección de nuevas amenazas en segundos, sin descargar actualizaciones del motor.

Aparte de estas características, un conjunto de detección de malware eficiente debe ser independiente de la plataforma y ocupar un espacio reducido, lo que le permite actuar más rápido que las amenazas, independientemente del sistema.

Nuestra solución

El galardonado motor antimalware de Bitdefender ofrece protección contra todo el malware común, desde troyanos y gusanos hasta ransomware y spyware, así como contra enemigos menos comunes, como amenazas persistentes avanzadas, amenazas de día cero y muchos otros.

Con una tasa de detección del 99,9 %, escaneo de alta velocidad y rápida integración en aplicaciones y servicios de socios, nuestra solución antimalware puede adaptarse a cualquier empresa, SOC o MSSP.

Sin embargo, no debe aceptar las propias palabras de ningún proveedor. Nuestros productos han sido probados y premiados constantemente por analistas independientes, hasta el punto de que nuestro motor antimalware ha ganado más premios que cualquier otro producto en la historia de AV-Comparatives. De hecho, acabamos de ganar su premio Producto del año .

Si desea obtener más información sobre lo que nuestra solución puede hacer por su empresa, lea nuestro extenso resumen técnico: Tecnologías utilizadas en el motor antimalware.

Bitdefender lanza Universal LockerGoga Decryptor en cooperación con las fuerzas del orden

Bitdefender lanza Universal LockerGoga Decryptor en cooperación con las fuerzas del orden

Nos complace anunciar la disponibilidad de un nuevo descifrador para LockerGoga, una variedad de ransomware que saltó a la fama en 2019 con el ataque de la empresa Norsk Hydro.

El nuevo descifrador es un esfuerzo conjunto entre Bitdefender, Europol, el Proyecto NoMoreRansom, la Fiscalía de Zúrich y la Policía Cantonal de Zúrich.

¿Qué es LockerGoga?

LockerGoga es una familia de ransomware identificada en enero de 2019 luego de ataques exitosos contra varias empresas en los Estados Unidos de América y Noruega. Su operador, que ha estado detenido desde octubre de 2021 en espera de juicio, es parte de una red de ciberdelincuencia más grande que utilizó el ransomware LockerGoga y MegaCortext para infectar a más de 1800 personas e instituciones en 71 países y causar daños estimados en 104 millones de dólares.

Recupera tus datos

Los indicadores de una infección de LockerGoga son la presencia de archivos con una extensión I ‘.locked’. Si usted o su empresa se han visto afectados por LockerGoga, ahora puede usar la herramienta a continuación para recuperar sus archivos de forma gratuita. Tenemos un tutorial paso a paso sobre cómo operar el descifrador tanto en modo de una sola computadora como de red.

Carrito0
Aún no agregaste productos.
Continuar comprando
0