Una vez considerado un cargador de otro malware, Valak realiza reconocimientos y roba información y credenciales con regularidad, según muestra un nuevo análisis.
Durante los últimos seis meses, un aumento de la actividad de desarrollo en un programa malicioso conocido como Valak, que tradicionalmente se utiliza para cargar otro malware en sistemas comprometidos, ha transformado el software en una herramienta para el reconocimiento y el robo de credenciales y otra información confidencial, según nuevo análisis de Cybereason.
Los desarrolladores detrás del malware han lanzado más de 20 versiones diferentes en los últimos seis meses, convirtiendo el programa en un marco modular de múltiples etapas que se puede actualizar con funcionalidad adicional a través de complementos. Descubierto por primera vez a fines de 2019, Valak se enfoca en administradores de redes empresariales y apunta específicamente a servidores Microsoft Exchange, dice Assaf Dahan, jefe de investigación de amenazas en Cybereason, una firma de protección contra amenazas.
“El cambio de Valak a módulos que están específicamente dirigidos a empresas y organizaciones nos muestra que los desarrolladores se están alejando de las personas y están más enfocados en comprometer las empresas”, dice. "Están haciendo esto en ciclos de desarrollo muy rápidos; cada pocos días, están cargando una nueva versión".
Si bien el software no tiene un uso generalizado en este momento, su trayectoria sugiere que se convertirá en una herramienta estándar para los ciberdelincuentes, dice Dahan. Los operadores de Valak originalmente usaron el código para descargar otro malware, como Ursnif o IcedID, pero Cybereason descubrió que la relación entre los programas y sus grupos es más compleja, ya que esos programas también han descargado e instalado Valak en otros sistemas. .
La conexión entre los tres programas sugiere que los operadores de Valak pueden ser parte de la clandestinidad ciberdelincuente rusa, según Análisis de Cybereason.
“Si bien la naturaleza de la asociación entre cada uno de estos malware específicos no se comprende completamente, sospechamos que se basa en lazos personales y la confianza mutua de las comunidades clandestinas”, afirma el informe. "Dado el hecho de que tanto Ursnif como IcedID se consideran parte del ecosistema del crimen electrónico de habla rusa, es posible que los autores de Valak también formen parte de esa comunidad clandestina de habla rusa".
Los operadores detrás de Valak comenzaron apuntando a organizaciones en Alemania, pero también han agregado objetivos en los EE. UU. El malware continuará evolucionando a medida que los delincuentes detrás de ellos amplíen sus operaciones, dijo James McQuiggan, evangelista de la empresa de concienciación sobre seguridad KnowBe4, en un comunicado.
“Al igual que las organizaciones que brindan un servicio o producto, lo actualizan continuamente para mejorar la tecnología o las capacidades”, dijo. “Los grupos criminales no son diferentes, como se ve con Valak. En los últimos nueve meses, este software malicioso ha aumentado sus funciones para robar información confidencial e implementar malware adicional ".
El malware tiene amplias funciones para recopilar credenciales y parece tener un enfoque específico del código en los servidores de correo de Microsoft Exchange. Al capturar datos confidenciales, los atacantes pueden obtener acceso a los privilegios de usuario del dominio para los servicios de correo interno y el certificado de dominio de la empresa, advierte Cybereason en su informe.
“Esto crea una combinación muy peligrosa de fuga de datos confidenciales y ciberespionaje o robo de información potencialmente a gran escala”, afirma la empresa. "También muestra que el objetivo previsto de este malware son, ante todo, las empresas".
En general, el malware parece ser el resultado de un esfuerzo de desarrollo significativo y, a través de su diseño modular, se puede actualizar con más funciones para evadir la detección y más capacidades para robar datos. Las empresas deben asegurarse de tener los procesos y las tecnologías para detectar el ataque, dice Dahan de Cybereason.
“Valak está utilizando técnicas muy sigilosas que no son triviales, y los antivirus tendrán problemas para detectarlas”, dice. "Somos bastante buenos para predecir qué malware se convertirá en una amenaza importante, y tenemos razones para creer que Valak se volverá más prominente".
El malware a menudo aparece como un documento de Microsoft Office que contiene una macro maliciosa, una forma popular para que los atacantes comprometan los sistemas, dijo la firma de servicios de seguridad EmberSec en un comunicado.
"Las empresas deben seguir aplicando las mejores prácticas de seguridad, como el filtrado de correo electrónico, el análisis de archivos adjuntos de correo electrónico y la educación obligatoria para los empleados sobre la conciencia de la seguridad cibernética", dijo la empresa.
Contenido relacionado:
Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dark Reading, MIT's Technology Review, Popular Science y Wired News. Cinco premios para periodismo, incluyendo Mejor fecha límite ... Ver Biografía completa
Lecturas recomendadas:
Más Información
