Valak Malware recapturado para robar datos de EE. UU., …


Una vez considerado un cargador para otro malware, Valak realiza regularmente reconocimientos y roba información y credenciales, según muestra un nuevo análisis.

En los últimos seis meses, un aumento de la actividad de desarrollo en un programa malicioso conocido como Valak, utilizado tradicionalmente para cargar otro malware en sistemas comprometidos, ha transformado el software en una herramienta para el reconocimiento y el robo de credenciales y otra información confidencial, según Nuevo análisis de Cybereason.

Los desarrolladores detrás del malware han lanzado más de 20 versiones diferentes en los últimos seis meses, convirtiendo el programa en un marco modular de varias etapas que se puede actualizar con funcionalidad adicional a través de complementos. Descubierto por primera vez a fines de 2019, Valak se centra en los administradores de redes empresariales y se dirige específicamente a los servidores de Microsoft Exchange, dice Assaf Dahan, jefe de investigación de amenazas en Cybereason, una empresa de protección contra amenazas.

«El cambio de Valak a módulos que están específicamente dirigidos a empresas y organizaciones nos muestra que los desarrolladores se están alejando de apuntar a individuos y están más enfocados en comprometer negocios», dice. «Lo están haciendo en ciclos de desarrollo muy rápidos: cada pocos días están cargando una nueva versión».

Si bien el software package no se usa ampliamente en este momento, su trayectoria sugiere que se convertirá en una herramienta estándar para los ciberdelincuentes, dice Dahan. Los operadores de Valak originalmente usaron el código para descargar otro malware, como Ursnif o IcedID, pero Cybereason ha encontrado que la relación entre los programas, y sus grupos, es más compleja, ya que esos programas también han descargado e instalado Valak en otros sistemas .

La conexión entre los tres programas sugiere que los operadores de Valak pueden ser parte del subterráneo cibercriminal ruso, según Análisis de Cybereason.

«Si bien la naturaleza de la asociación entre cada uno de estos malware específicos no se comprende completamente, sospechamos que se basa en lazos personales y la confianza mutua de las comunidades clandestinas», señala el informe. «Dado que tanto Ursnif como IcedID se consideran parte del ecosistema E-Criminal offense de habla rusa, es posible que los autores de Valak también formen parte de esa comunidad clandestina de habla rusa».

Los operadores detrás de Valak comenzaron apuntando a organizaciones en Alemania, pero también han agregado objetivos en los EE. UU. El malware continuará evolucionando a medida que los delincuentes detrás de ellos expandan sus operaciones, dijo James McQuiggan, un evangelista de la firma de concienciación de seguridad KnowBe4, en un comunicado.

«Al igual que las organizaciones que brindan un servicio o producto, lo actualizan continuamente para mejorar la tecnología o las capacidades», dijo. «Los grupos criminales no son diferentes, como se ve con Valak. En los últimos nueve meses, este application malicioso ha aumentado sus funciones para robar información confidencial y desplegar malware adicional».

El malware tiene amplias funciones para recopilar credenciales y parece tener un enfoque específico de código en los servidores de correo de Microsoft Trade. Al tomar datos confidenciales, los atacantes pueden obtener acceso a los privilegios de usuario de dominio para los servicios de correo interno y el certificado de dominio de la compañía, advierte Cybereason en su informe.

«Esto crea una combinación muy peligrosa de fuga de datos confidenciales y espionaje cibernético o infostealing a gran escala», afirma la compañía. «También muestra que el objetivo previsto de este malware es, ante todo, las empresas».

En general, el malware parece ser el resultado de un esfuerzo de desarrollo significativo, y a través de su diseño modular puede actualizarse con más funciones para evadir la detección y más capacidades para robar datos. Las empresas deben asegurarse de tener los procesos y las tecnologías para detectar el ataque, dice Dahan de Cybereason.

«Valak está utilizando técnicas muy sigilosas que no son triviales, y los antivirus tendrán problemas para detectarlo», dice. «Somos bastante buenos para predecir qué malware se convertirá en una amenaza importante, y tenemos razones para creer que Valak se hará más prominente».

El malware a menudo aparece como un documento de Microsoft Business office que contiene una macro maliciosa, una forma well-known para que los atacantes comprometan los sistemas, dijo la firma de servicios de seguridad EmberSec en un comunicado.

«Las empresas deben seguir aplicando las mejores prácticas de seguridad, como el filtrado de correo electrónico, el análisis de archivos adjuntos de correo electrónico y la educación obligatoria de concientización sobre seguridad cibernética de los empleados», dijo la compañía.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Examining, MIT&#39s Engineering Assessment, Popular Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia primary