Luna Moth: Los hackers de extorsión que se hacen pasar por soporte técnico en EE.UU.

En el mundo digital actual, la seguridad online es un tema crucial para empresas y usuarios por igual. Recientemente, el grupo de extorsión conocido como Luna Moth, también apodado Silent Ransom Group, ha intensificado sus campañas de phishing dirigidas a instituciones legales y financieras en Estados Unidos. Esta amenaza representa un nuevo enfoque que utiliza técnicas de ingeniería social para infiltrarse en los sistemas de las organizaciones, lo que nos lleva a preguntarnos: ¿estás realmente protegido contra estos ataques?

La evolución de Luna Moth

Orígenes y desarrollo

Luna Moth, inicialmente parte de las campañas BazarCall que llevaron a ataques de ransomware como Ryuk y Conti, se ha transformado en un grupo independiente desde marzo de 2022. Su objetivo principal es el robo de datos y la extorsión, utilizando tácticas más sofisticadas y menos detectables. Este cambio de estrategia ha permitido a Luna Moth adaptarse a un entorno cibernético en constante cambio, manteniendo en jaque a numerosas organizaciones, en su mayoría en EE.UU.

Tácticas de ataque

Las últimas actividades de Luna Moth se caracterizan por el uso de correos electrónicos maliciosos que imitan el soporte técnico de empresas reconocidas. Utilizan nombres de dominio parecidos a los de estas organizaciones, lo que provoca que las víctimas, pensando que están en contacto con soporte técnico legítimo, instalen software de administración remota y gestión (RMM) desde sitios falsos.

Tácticas específicas utilizadas

1. Prácticas de suplantación: Luna Moth imita portales de soporte técnico de firmas legales y financieras estadounidenses, empleando patrones de nombres de dominio typo-squatted. Esto facilita que los usuarios sean engañados al considerar que están interactuando con su verdadera firma.

2. Ingeniería social: Al actuar como soporte técnico, los atacantes persuaden a las víctimas para que instalen herramientas RMM como Syncro, SuperOps, o AnyDesk. Este método evita las alertas de software de seguridad, pues las herramientas son legítimas pero están siendo mal utilizadas.

3. Acceso y recopilación de datos: Una vez que se instala el RMM, los atacantes obtienen acceso completo y pueden explorar los dispositivos buscando información sensible, la cual es exfiltrada para extorsionar posteriormente a las organizaciones afectadas.

Cómo Luna Moth opera sus ataques

Fases del ataque

1. Engaño inicial: La víctima recibe un correo electrónico con un número de teléfono falso de soporte técnico. Creyendo que están abordando un problema, se comunican con el atacante.

2. Instalación del RMM: El operador de Luna Moth convence a la víctima de descargar una herramienta RMM desde un sitio falsificado, permitiendo el acceso remoto a su máquina.

3. Exfiltración de datos: Una vez dentro, los atacantes buscan archivos importantes y envían esta información a servidores bajo su control utilizando herramientas legítimas como WinSCP o Rclone.

4. Extorsión: Una vez recopilados los datos, Luna Moth contacta a la víctima, amenazando con hacer públicos los datos robados si no se paga un rescate que varía entre un millón y ocho millones de dólares.

Indicadores de Compromiso (IoCs)

Para las empresas que desean protegerse de estas tácticas, es crucial estar atentos a ciertos indicadores de compromiso. Algunos de ellos incluyen:

• IP y dominios sospechosos: Identificar y bloquear direcciones IP y dominios utilizados en estos ataques.
• Herramientas RMM no autorizadas: Considerar la restricción de la ejecución de herramientas RMM que no sean utilizadas en el entorno organizacional.

Por ello, siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Prevención y buenas prácticas

Mientras que la amenaza de Luna Moth es real, existen medidas efectivas que las organizaciones pueden implementar para mitigar el riesgo de ser víctimas de este tipo de ataques.

Formación y concienciación

El primer paso es educar a los empleados sobre las tácticas de engaño utilizadas por estos grupos. Las organizaciones deben llevar a cabo sesiones de formación regular sobre seguridad cibernética, asegurando que los empleados estén conscientes de los riesgos asociados al phishing y la suplantación de identidad.

Herramientas de seguridad

Además de la formación, es fundamental contar con herramientas de seguridad adecuadas. Implementar un software antivirus confiable y actualizaciones regulares de seguridad ayudará a mantener a raya las amenazas. Por ello, asegúrate de descargarte nuestro antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Inspección de correos electrónicos

Las organizaciones deben implementar filtros de correos electrónicos que permitan identificar y bloquear potenciales amenazas. Esto incluye verificar la autenticidad de los remitentes y estar al tanto de cualquier actividad inusual.

Control de accesos

Limitar el acceso a herramientas y software que la organización no utiliza regularmente puede ser una barrera efectiva contra intrusiones. Auditar regularmente los accesos y permisos de los empleados también es crucial.

Respuesta ante un ataque

Si tu organización llega a ser víctima de un ataque de Luna Moth o de cualquier otro grupo de extorsión, es vital tener un plan de respuesta:

1. Actuar rápidamente: Si se sospecha un ataque, detén inmediatamente cualquier acceso remoto.
2. Notificar a las autoridades: Contactar a las autoridades locales y a expertos en ciberseguridad es imprescindible.
3. Informar a las partes afectadas: Si se han comprometido datos sensibles, las partes afectadas deben ser notificadas lo antes posible.

Recuerda, la rapidez en la respuesta puede marcar la diferencia entre la contención de un ataque y la pérdida de datos vitales.

En resumen

Luna Moth representa una amenaza significativa para las organizaciones en Estados Unidos, utilizando tácticas ingeniosas que combinan la ingeniería social con la infiltración tecnológica. La comprensión de sus métodos y la implementación de medidas preventivas adecuadas son esenciales para proteger tu empresa de potenciales agresiones.

Adicionalmente, no olvides la importancia de tener una buena protección antivirus y mantenerte siempre informado sobre las últimas amenazas cibernéticas. Por ello, asegurarte de descargar nuestro antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas es un paso inteligente hacia la seguridad digital.

Mantente alerta y protege lo que importa. La mejor defensa es siempre estar un paso adelante.

Fuente: https://www.bleepingcomputer.com/news/security/luna-moth-extortion-hackers-pose-as-it-help-desks-to-breach-us-firms/