Analistas de Kaspersky han descubierto un nuevo grupo de ransomware que pone de manifiesto la tendencia de los ciberdelincuentes a recurrir a la funcionalidad multiplataforma. El grupo, apodado Luna, emplea un ransomware escrito en Rust, un lenguaje de programación utilizado anteriormente por BlackCat y Hive. Esto les permite portar fácilmente el malware de un sistema operativo a otro. Este y otros descubrimientos forman parte del reciente informe de Kaspersky sobre crimeware, disponible en Securelist.
Luna despliega un malware escrito en lenguaje de programación Rust y sus capacidades multiplataforma permiten al grupo dirigirse a sistemas Windows, Linux y ESXi a la vez. Los expertos de Kaspersky descubrieron un anuncio en la dark web en el que se afirmaba que Luna sólo trabaja con afiliados de habla rusa. Esto, junto con una nota de rescate codificada en el binario y que contenía algunas faltas de ortografía, lleva a la conclusión de que el grupo podría ser de habla rusa. Dado que Luna acaba de ser descubierto, todavía hay pocos datos sobre su victimología, pero el equipo de Kaspersky sigue de cerca la actividad del grupo.
El modo de actuación de Luna es un ejemplo más de la reciente tendencia del ransomware multiplataforma, con lenguajes como Golang y Rust fuertemente implementados por grupos modernos de ransomware en el último año. Así lo han hecho BlackCat y Hive. Este último utiliza tanto Go como Rust. Estos lenguajes son independientes de la plataforma, por lo que el ransomware escrito con ellos puede ser fácilmente portado de una plataforma a otra. Así, los ataques pueden dirigirse a varios sistemas operativos al mismo tiempo.
Otra investigación llevada a cabo recientemente por Kaspersky proporciona una visión más profunda de la actividad del ransomware Black Basta. Este grupo ejecuta una nueva variante de ransomware escrita en C++ que salió a la luz por primera vez en febrero de 2022. Desde entonces, Black Basta ha conseguido atacar a más de 40 víctimas, principalmente en Estados Unidos, Europa y Asia.
Como ha demostrado la investigación de Kaspersky, tanto Luna como Black Basta tienen como objetivo los sistemas ESXi, así como Windows y Linux, lo que supone otra tendencia de ransomware de 2022. ESXi es un hipervisor que puede utilizarse de forma independiente en cualquier sistema operativo. Dado que muchas empresas han migrado a máquinas virtuales basadas en ESXi, es más fácil para los atacantes cifrar los datos de las víctimas.
"Las tendencias que esbozamos a principios de año parecen estar ganando fuerza. Vemos que cada vez más grupos utilizan lenguajes multiplataforma para escribir su ransomware. Esto les permite desplegar el malware en una amplia variedad de sistemas operativos. El aumento de los ataques a máquinas virtuales ESXi es alarmante y se espera que cada vez más grupos de ransomware desplieguen la misma estrategia", explica Jornt van der Wiel, experto en seguridad de Kaspersky.
En este contexto, los expertos de Kaspersky comparten algunos consejos que ayudarán a proteger tanto a usuarios como a empresas de los ataques de ransomware:
- No exponer los servicios de escritorio remoto (como RDP) a las redes públicas, a menos que sea absolutamente necesario, además de utilizar siempre contraseñas seguras.
- Centrar la estrategia de defensa en detectar los movimientos laterales y la exfiltración de datos a Internet. Se debe prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
- Utilizar soluciones de ciberseguridad como Kaspersky Endpoint Detection and Response Expert y Kaspersky Managed Detection and Response. Estas pueden ayudar a identificar y detener el ataque en sus primeras etapas, antes de que los ciberdelincuentes alcancen sus objetivos finales.
- Educar a los empleados para proteger el entorno corporativo. Los cursos de formación especializados pueden ayudar, como los que se ofrecen en la Plataforma de Concienciación de Seguridad Automatizada de Kaspersky.
- Utilizar la información más reciente de Inteligencia frente a Amenazas para estar al tanto de las TTPs reales que usan los ciberdelincuentes. El Portal de Inteligencia de Amenazas de Kaspersky proporciona datos de ciberataques y perspectivas recopiladas por expertos durante 25 años.
- Para ayudar a las empresas a habilitar defensas efectivas, Kaspersky ha anunciado el acceso a información independiente, continuamente actualizada y de origen global sobre los ciberataques y amenazas en curso, sin coste alguno aquí.
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es
