Los ciberdelincuentes están en constante evolución, de ahí que surja malware de todo tipo. Es aquí donde entra RapperBot, un gusano basado en la botnet Mirai que infecta dispositivos IoT para lanzar ataques de denegación de servicio (DDoS).
En relación a ello, Kaspersky ha analizado Rhadamanthys, un sistema centrado en el robo de información, y CUEMiner, malware de código abierto distribuido presumiblemente a través de BitTorrent y One Drive.
“Para evitar este tipo de ataques y proteger a las empresas, es importante conocer lo que sucede en el ámbito de la ciberseguridad y usar las últimas herramientas de protección”, explica Jornt van der Wiel, analista sénior de seguridad de GReAT en Kaspersky.
RapperBot, Rhadamanthys y CUEMiner
– RapperBot se observó por primera vez en junio de 2022, cuando tenía como objetivo el protocolo Secure Shell (SSH), un sistema seguro de transferencia de archivos mediante encriptación. Sin embargo, la última versión del malware se enfoca exclusivamente a Telnet, protocolo de red para acceder y manejar en remoto otra máquina. La singularidad de este malware, en comparación con otros tipos, radica en su método de ataque de fuerza bruta: verifica el prompt y, en función de éste, selecciona las credenciales apropiadas.
Kaspersky ha descubierto una variante de Rapperbot, un gusano basado en la botnet Mirai que infecta dispositivos IoT para lanzar ataques de denegación de servicio (DDoS)
– CUEMiner, un malware de código abierto descubierto por primera vez en Github en 2021. La última versión apareció en octubre de 2022 e incluye un minero propio denominado ‘Watcher’. Este programa monitoriza sistemas y dispositivos de la víctima mientras el usuario inicia programas de cierto peso, como puede ser un videojuego.
– Rhadamanthys, se trata de un ladrón de información que hace uso de Google Advertising para distribuir malware, que presenta una fuerte conexión con Hidden Bee, software orientado a la minería de criptomonedas. Ambos malwares utilizan imágenes para esconderse y tienen códigos de tipo shell similares para activarse. Los dos usan sistemas de archivos virtuales en memoria y el lenguaje de programación Lua para cargar módulos y complementos.
Recomendaciones de seguridad Kaspersky
Para protegerse de ataques de ransomware, como es el caso de RapperBot, Kaspersky ofrece estos consejos a usuarios y empresas:
– No exponer servicios de escritorio remoto (como RDP) en redes públicas si no es estrictamente necesario
– Instalar siempre que sea posible los parches para las soluciones comerciales VPN que dan acceso remoto a empleados y actúan como puertas de entrada a la red
– Centrar la estrategia defensiva en la detección de movimientos laterales y filtraciones de datos
– Es importante realizar copias de seguridad regularmente y tener un acceso rápido a las mismas en caso de emergencia
– Usar soluciones de seguridad de confianza como Kaspersky Endpoint Detection and Response Expert y Kaspersky Managed Detection and Response, que ayudan a identificar y detener ataques en estado inicial, antes de que los ciberdelincuentes hayan conseguido sus objetivos
– Disponer de la información de amenazas (Threat Intelligence) más reciente para conocer las Tácticas, Técnicas y Procedimientos (TTPs) usadas por los ciberdelincuentes