Bogotá, marzo 2023 – El panorama geopolítico, el aumento de ataques cada vez más sofisticados y la complejidad para gestionar la seguridad, han sido aprovechados por los ciberdelincuentes para continuar diseñando malware y así robar información e incluso pedir rescate por ella (ransomware).
En ese ambiente, el Equipo de Inteligencia de Amenazas de Symantec, compañía de Broadcom, detectó Graphiron, nuevo malware de robo de información ruso desplegado contra Ucrania.
El grupo Nodaria, vinculado a Rusia, ha desplegado una nueva amenaza diseñada para robar una amplia gama de información de los computadores infectados.
El grupo de espionaje Nodaria (también conocido como UAC-0056) está utilizando una nueva información para robar malware contra objetivos en Ucrania. El malware (Infostealer.Graphiron) está escrito en Go y está diseñado para recolectar una amplia gama de información del computador infectado, incluida información del sistema, credenciales, capturas de pantalla y archivos.
La evidencia más temprana de Graphiron data de octubre de 2022. Continuó usándose hasta al menos mediados de enero de 2023 y es razonable suponer que sigue siendo parte del conjunto de herramientas de Nodaria.
Dado que los ciberataques no tienen fronteras, eSoft LATAM, Partner VAD y el mejor Expert Advantage Partner, & Technical Enablement, Latin America de Broadcom Software, brinda esta información descubierta por Symantec, para ayudar a las empresas a prevenir este tipo de ataques.
Modo de ataque
Técnicamente, Graphiron es una amenaza de dos etapas que consta de un descargador (Downloader.Graphiron) y una carga útil (Infostealer.Graphiron).
El descargador contiene direcciones de servidor de comando y control (C&C) codificadas. Cuando se ejecuta, se comparará con una lista negra de herramientas de análisis de malware al verificar los procesos en ejecución con los nombres. Si no se encuentran procesos en la lista negra, se conectará a un servidor C&C y descargará y descifrará la carga útil antes de agregarla a la ejecución automática.
El descargador está configurado para ejecutarse solo una vez. Si no puede descargar e instalar la carga útil, no hará más intentos.
Graphiron utiliza el cifrado AES con claves codificadas. Crea archivos temporales con las extensiones ".lock" y ".trash". Utiliza nombres de archivos codificados diseñados para hacerse pasar por ejecutables de Microsoft Office: OfficeTemplate.exe y MicrosoftOfficeDashboard.exe
“Ante este comportamiento, insistimos a las empresas siempre tener actualizado su sistema y contar con herramientas de análisis de malware para evitar ser víctimas de este tipo de ciberataques”, comentó Ricardo Dossantos, gerente de Ciberseguridad de eSoft LATAM.
La segunda etapa de este malware opera como carga útil y es capaz de llevar a cabo las siguientes tareas:
- Obtener la dirección IP de https://checkip.amazonaws.com
- Recuperar el nombre de host, la información del sistema y la información del usuario.
- Robar datos de Firefox y Thunderbird
- Robar claves privadas de MobaXTerm.
- Robar hosts conocidos de SSH
- Robar datos de PuTTY
- Robar contraseñas almacenadas
- Tomar capturas de pantalla
- Crear un directorio
- Mostrar un directorio
- Ejecutar un comando de shell
- Robar un archivo arbitrario
Según el análisis del equipo Incidentes de Symantec, Graphiron tiene algunas similitudes con herramientas antiguas de Nodaria como GraphSteel y GrimPlant. GraphSteel está diseñado para extraer archivos junto con la información del sistema y las credenciales robadas de la bóveda de contraseñas mediante PowerShell. Graphiron tiene una funcionalidad similar, pero puede filtrar mucho más, como capturas de pantalla y claves SSH.
Además de esto, al igual que con el malware anterior, Graphiron se comunica con el servidor C&C mediante el puerto 443 y las comunicaciones se cifran mediante el cifrado AES.
Según la investigación de Symantec, Nodaria ha estado activa desde al menos marzo de 2021 y parece estar involucrada principalmente en organizaciones de orientación en Ucrania. También hay evidencia limitada que sugiere que el grupo ha estado involucrado en ataques contra objetivos en Kirguistán. Los informes de terceros también han vinculado al grupo con los ataques a Georgia.
El grupo saltó a la atención del público cuando se vinculó a los ataques WhisperGate Wiper que atacaron múltiples computadores y sitios web del gobierno ucraniano en enero de 2022. Cuando WhisperGate se cargó inicialmente en un sistema, el malware sobrescribía la parte del disco duro responsable de iniciar el sistema operativo cuando la máquina se inicia con una nota de rescate que exige $ 10,000 en Bitcoin. Sin embargo, esto fue solo un señuelo, ya que el malware WhisperGate destruye los datos en una máquina infectada y no se puede recuperar, incluso si se paga un rescate.
“El ransomware ha aumentado porque las empresas no han tenido políticas y herramientas efectivas para la detección de malware, dando tiempo y espacio para que los ciberdelincuentes estén en sus sistemas y pidan rescate para que puedan volver a acceder a su información. Además de las afectaciones en la continuidad de negocios, no hay garantía de que esa información ya no haya sido comercializada en la web profunda (dark web) y la estén utilizando otros grupos para ir por más empresas y usuarios, o incluso, tampoco hay certeza de que no vuelvan a atacar a la empresa. Pagar un rescate nunca debería ser una opción. Siempre recomendamos, tener una estrategia de ciberseguridad integral, que incluya tecnología, procesos y personas y diseñas planes Zero Trust para evitar este tipo de amenazas”, agregó Ricardo Dos Santos, gerente de Servicios de eSoft LATAM, compañía representante de las soluciones tecnológicas de clase mundial, con altos niveles de relacionamiento y Partner Tier1/ VAD “Value Added Distributor” Expert Advantage Partner de Broadcom y Partner premier de Symantec
Symantec brinda seguridad de punto final, seguridad en la nube, soluciones de seguridad de correo electrónico, soluciones para protección de datos y servicios de inteligencia de amenazas.
Las soluciones y servicios de seguridad de Symantec están disponibles en el país a través de eSoft LATAM.
Para más información:
visite: https://esoft.com.co