Google vincula el nuevo malware de robo de datos LostKeys a espías cibernéticos rusos

En el mundo actual, la seguridad cibernética es un aspecto crucial que no se puede pasar por alto. Recientemente, Google ha identificado un nuevo malware llamado LostKeys que está vinculado a un grupo de hackers respaldado por el estado ruso. Este malware ha sido utilizado para llevar a cabo ataques de espionaje dirigidos específicamente a gobiernos occidentales, periodistas, organizaciones no gubernamentales y centros de investigación. En este artículo, exploraremos el impacto de LostKeys, las técnicas utilizadas por los ciberdelincuentes y cómo protegernos de este tipo de amenazas.

¿Qué es el malware LostKeys?

El malware LostKeys ha sido observado por primera vez en enero de este año por Google Threat Intelligence Group (GTIG). Este software malicioso se despliega en ataques de ClickFix, una técnica que utiliza la ingeniería social para engañar a las víctimas y hacer que ejecuten scripts maliciosos de PowerShell. Por lo tanto, los atacantes pueden descargar y ejecutar una serie de cargas útiles adicionales en los dispositivos de las víctimas.

Cómo funciona LostKeys

LostKeys se especializa en el robo de archivos específicos. Según Google, el malware puede robar archivos de una lista predeterminada de extensiones y directorios. Además, es capaz de recopilar información del sistema y otros procesos en ejecución, enviando esta información directamente al atacante. Es importante tener en cuenta que el comportamiento típico de ColdRiver, el grupo detrás de LostKeys, incluye el robo de credenciales para acceder a correos electrónicos y contactos de los objetivos.

La conexión de ColdRiver con el FSB ruso

Desde diciembre, se ha vinculado al grupo ColdRiver directamente con el Servicio Federal de Seguridad de Rusia (FSB). Este organismo se encarga del contraespionaje y de la seguridad interna en Rusia. ColdRiver no es un grupo nuevo en la escena del hacking; han estado operando desde al menos 2017, empleando técnicas de inteligencia de fuentes abiertas (OSINT) para investigar y atraer a sus objetivos.

Amenazas cibernéticas a nivel global

ColdRiver no es el único grupo que ha estado utilizando técnicas similares. Otros grupos de hackers respaldados por estados como Kimsuky de Corea del Norte, MuddyWater de Irán, y APT28 de Rusia, también han emprendido campañas de espionaje utilizando tácticas comparables en los últimos meses. Esto subraya la creciente preocupación por las amenazas cibernéticas a nivel mundial.

Estrategias de ataque de ColdRiver

Ingeniería social: la técnica clave

La ingeniería social es una de las estrategias más efectivas en el arsenal de los atacantes. En el caso de ColdRiver, los ataques de spear-phishing han sido preferidos. Estos ataques se dirigen a individuos o grupos específicos—como funcionarios gubernamentales o miembros de ONGs—de manera que aumentan las probabilidades de éxito al suplantar identidades confiables.

Campañas de desinformación

También se ha observado que los atacantes utilizan campañas de desinformación para distraer a las víctimas y facilitar el acceso a sus sistemas. Esto puede incluir la creación de contenido falso o el uso de plataformas de redes sociales para difundir información manipulativa.

Medidas preventivas contra LostKeys y otros malware

Dado el aumento de las amenazas cibernéticas, es indispensable que individuos y organizaciones tomen medidas proactivas para protegerse. Aquí hay algunas recomendaciones:

Utiliza software de seguridad confiable

Siempre es crucial contar con un antivirus actualizado y digno de confianza. Por ello, recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas. Este tipo de software puede detectar y neutralizar amenazas como LostKeys antes de que causen daños.

Mantén tus sistemas actualizados

La actualización frecuente de sistemas operativos y aplicaciones puede prevenir vulnerabilidades que los hackers pueden explotar. Mantener tu entorno digital al día es un paso fundamental en la defensa contra malware y ataques cibernéticos.

Educación y concienciación en seguridad

La capacitación en buenas prácticas de ciberseguridad es esencial. Educar a los empleados y a los usuarios sobre cómo identificar correos electrónicos sospechosos y comportamientos que puedan indicar un ataque ayudará a reducir la efectividad de las campañas de ingeniería social.

El apoyo internacional en la lucha contra el cibercrimen

El grupo ColdRiver ha sido objeto de sanciones en diciembre de 2023 por parte del Departamento de Estado de EE. UU., que ha impuesto sanciones a dos de sus operadores. Esto no solo denuncia sus acciones, sino que también busca disuadir a otros grupos de hackers respaldados por estados de continuar con actividades maliciosas.

Recompensas por información

El gobierno de EE. UU. ha ofrecido hasta 10 millones de dólares en recompensas para quienes puedan proporcionar información que lleve a la captura de otros miembros del grupo ColdRiver. Esta acción enfatiza la seriedad del problema y la necesidad de colaboración global en la lucha contra el cibercrimen.

Implicaciones para gobiernos y organizaciones

Las implicaciones de estos ataques van más allá de la pérdida de datos. La infiltración de grupos como ColdRiver puede comprometer la seguridad nacional y la integridad de instituciones vitales. La información robada puede ser utilizada para sabotear y manipular decisiones críticas.

Vigilancia continua

Los gobiernos, junto con las agencias de ciberseguridad, deben llevar a cabo una vigilancia constante de estas amenazas emergentes. Implementar protocolos de respuesta rápida es esencial para mitigar los efectos de un ataque exitoso.

Análisis de las técnicas de ataque

Google ha compartido que las técnicas utilizadas por grupos como ColdRiver se alinean con varias técnicas detalladas en el marco MITRE ATT&CK, que categoriza las tácticas y técnicas de ciberataques. La comprensión de estas tácticas no solo ayuda a las organizaciones a prevenir ataques, sino que también les capacita para responder de manera efectiva si están comprometidas.

La creciente colaboración internacional

La colaboración entre países y organizaciones es crucial para enfrentar la amenaza emergente de los ataques cibernéticos respaldados por estados. El intercambio de información e inteligencia puede mejorar la defensa de sistemas críticos y aumentar la capacidad de respuesta ante incidentes.

La importancia del OSINT

La inteligencia de fuentes abiertas (OSINT) juega un papel crucial en la identificación de puntos débiles en la infraestructura de defensa de un país. Los grupos de hackers utilizados por estados a menudo se aprovechan de información que es accesible públicamente, lo que subraya la importancia de la gestión de la información y la privacidad.

En resumen

La identificación del malware LostKeys y su conexión con el grupo de hackers ColdRiver recalca la necesidad urgente de fortalecer nuestras defensas cibernéticas. Las medidas proactivas, como el uso de software antivirus confiable y la educación en buenas prácticas de seguridad, son fundamentales para proteger a individuos y organizaciones de las amenazas cibernéticas. Con un panorama de amenazas en constante evolución, es indispensable mantenerse informado y preparado ante los nuevos riesgos.

Fuente: https://www.bleepingcomputer.com/news/security/google-links-new-lostkeys-data-theft-malware-to-russian-cyberspies/