Blog

19/04/2021

Bots de criptomoneda en América Latina

Actualmente las micro, pequeñas y medianas empresas no están familiarizadas con temas de ciberseguridad y piensan que estos problemas o “ataques” son preocupaciones de las grandes corporaciones, bancos y data center, pero la realidad es totalmente distinta. 

Como empresa podemos tener ciertas restricciones de acceso a los equipos de cómputo como un antivirus económico, muchas veces gratis, e incluso open source, máquinas ligadas a un servidor de AD, bloqueador de anuncios en el navegador, etc.

Pero, ¿realmente conocemos a qué portales ingresan los empleados? El antivirus open source que me recomendaron. ¿Realmente contiene una base de firmas confiable? Una vez instaladas las últimas actualizaciones de mis programas y sistema operativo ¿realmente me protegen de infecciones o ataques?

La recomendación de cualquier proveedor de servicios de seguridad siempre es mantener las actualizaciones al día, sin embargo, esto no es suficiente. 

No necesitamos perder el acceso a nuestro equipo o que haga “cosas” raras para que nos demos cuenta de que algo anda mal o estamos infectados, simplemente podemos estar infectados sin darnos cuenta o jamás notar algún comportamiento extraño.

Los ciberataques realmente no buscan que los usuarios finales se den cuenta de los problemas que están ocasionando, de hecho el ataque pretende no ser detectado utilizando diversas técnicas.

El nuevo negocio no es pedir recompensas por algún servidor o PC cifrada, si no estar ocupando los recursos para beneficio propio, como lo puede ser el minar monedas. 

A través de páginas web, software de dudosa procedencia, intercambio de archivos desde fuentes no confiables, etc. Estos son algunos medios por los que puede lograrse una infección sin que nos demos cuenta, por lo que no es necesario estar protegido con un simple software antivirus, sino con sistemas de defensa que establezcan fuertes restricciones a aquellos malware en nuestro camino. 

Como ejemplo de estos problemas actuales, hace unos meses se llevó a cabo la desinfección de un servidor C&C que infectó a miles de equipos Windows en América Latina a través de un malware llamado Retadup. 

La policía cibernética reemplazó el servidor C&C malicioso con un servidor de desinfección preparado, que hizo que las instancias conectadas de Retadup se autodestruyeran. 

En el primer segundo de su actividad, varios miles de bots se conectaron a él para obtener comandos del servidor. El servidor de desinfección respondió a ellos y los desinfectó, abusando de la falla de diseño del protocolo C&C.

Su objetivo era lograr la persistencia en las computadoras de sus víctimas, extenderse a lo largo y ancho e instalar cargas de malware adicionales en las máquinas infectadas. 

En la gran mayoría de los casos, la carga útil instalada es una pieza de criptomoneda de minería de malware, sin embargo, en algunos casos, Retadup distribuye el ransomware Stop y el ladrón de contraseñas Arkei.

Hasta el momento, la colaboración ha neutralizado más de 850,000 infecciones únicas de Retadup.

América Latina se ha convertido en uno de los principales objetivos de los cibercriminales al aprovecharse de la falta de información en las empresas. Para ello, Data Warden cuenta con las tecnologías para ayudar a la detección y contención contra ataques sofisticados de última generación.

RiskManagement

Compartir

Suscríbete para recibir más contenido

Blogs relacionados