"Infostealers": la amenaza generalizada del malware de robo de información

Aunque el ransomware sigue dominando los titulares, de hecho una forma insidiosa de malware conocida como "infostealers" (forma abreviada de "malware de robo de información") es mucho más habitual y afecta a todo tipo de ámbitos, desde grandes corporaciones hasta ordenadores personales. El objetivo de los "infostealers" es obtener información confidencial de los sistemas infectados, como contraseñas, monederos de criptomonedas, cookies de sesión, datos financieros y otros datos personales para su filtración rápida al atacante. Muchos "infostealers" están a la venta en la categoría de "malware como servicio (MaaS)". Los delincuentes pueden comprar una suscripción (a menudo por unos cientos de dólares al mes) que les permite acceder al malware para su propio uso y objetivos; por su parte, el mantenimiento y el alojamiento del malware sigue en manos del desarrollador que lo vende.  Esto ayuda a reducir la barrera tecnológica de entrada a la que se enfrentan los ciberdelincuentes, lo que provoca la expansión rápida de los "infostealers" como una ciberamenaza más amplia. ¿Cómo se infectan las víctimas? Las víctimas pueden infectarse a través de diversos métodos, como el phishing de correos electrónicos, la visita a sitios web infectados o las aplicaciones fraudulentas. Una vez que el ordenador o la red están infectados, el malware se ejecutará, buscando identificar y filtrar rápidamente información crítica (incluyendo, si es posible, las contraseñas maestras de Last Pass) de los navegadores y otras carpetas importantes. Los atacantes emplearán estos datos para acceder a cuentas confidenciales, o bien volverán a empaquetar la información para venderla en mercados, foros u otros sitios delictivos. Actualmente el precio medio es de aproximadamente 10 $ por registro, y en cualquier momento hay millones de registros disponibles para su venta, lo que demuestra la naturaleza generalizada y habitual de la amenaza de los "infostealers". Estos registros incluyen credenciales y otros datos confidenciales de víctimas que abarcan desde multinacionales hasta pequeñas empresas o cuentas personales individuales robadas de un ordenador personal. ¿Cómo ha reaccionado LastPass? Para empezar, y como parte de nuestros esfuerzos para mejorar nuestras capacidades de seguridad, LastPass ha invertido cantidades considerables en nuestro programa de inteligencia sobre ciberamenazas.  Esto incluye la creación de un equipo de inteligencia, mitigación y escalada de amenazas (TIME) dedicado, que permite ampliar en gran medida nuestro sistema de supervisión y alertas de inteligencia sobre amenazas aprovechando el código abierto y los informes propios, así como supervisar de manera proactiva fuentes de la Dark Web para detectar actividades maliciosas. También ponemos en práctica esta inteligencia automatizando su integración con nuestros equipos de detección, respuesta y gestión de vulnerabilidades, lo que permite acelerar el plazo de mitigación. Finalmente, hemos desarrollado un proceso dedicado y enfocado para supervisar y alertar sobre las credenciales de clientes expuestas para los clientes que participan en el control de Dark Web. Como cabría esperar, la comunidad de "infostealers" valora en gran medida las contraseñas maestras, teniendo en cuenta su potencial para ofrecer acceso a la bóveda de un cliente y a sus datos y contraseñas confidenciales. Aunqaue existen docenas de "infostealers", actualmente LastPass rastrea tres variedades de malware que suelen publicitar la venta de credenciales de clientes de LastPass:

• Redline: este software de robo MaaS está disponible desde 2020 y es uno de los más extendidos.
• Raccoon: existe variedades de este software de robo desde 2019.
• Vidar: disponible al menos desde 2018, este software de robo también es capaz de hacer capturas de pantalla.

LastPass está adoptando medidas importantes para proteger las credenciales de nuestros clientes. Hace poco hemos ampliado nuestro control de Dark Web para incluir la supervisión de registros de "infostealers" y otras fuentes de posibles credenciales de clientes de LastPass. Aunque LastPass no puede ayudar a evitar la infección inicial, ya que con frecuencia se produce mediante phishing, al visitar un sitio web infectado o usar localmente una aplicación fraudulenta en el dispositivo de un usuario final, podemos ayudar a proteger a nuestros clientes notificándoles si detectamos que sus datos han sido robados. ¿Qué medidas puede adoptar para proteger su cuenta? Recomendamos que todos los usuarios de LastPass participen en nuestro programa de control de Dark Web, que proporcionará un nivel adicional de cobertura. Recibirá una notificación nuestra si sus credenciales se detectan en la Dark Web. Además:

• Utilice la autenticación multifactor (MFA) siempre que esté disponible para proteger sus cuentas. No acepte ni apruebe solicitudes de MFA que no haya generado usted explícitamente.
• No confíe en las aplicaciones que se ofrecen a través de canales no tradicionales (por ejemplo, fuera de las tiendas de aplicaciones tradicionales).
• Utilice un programa antivirus y actualícelo periódicamente o, mejor aún, prográmelo para que se actualice automáticamente.
• No guarde su contraseña maestra en su dispositivo, ni siquiera en las opciones de autocompletado que ofrece el navegador.

LastPass seguirá mejorando nuestras capacidades de supervisión y generación de informes, y estamos desarrollando un proceso para entorpecer de manera proactiva esas variedades de malware centradas en las cuentas de Last Pass. Estamos comprometidos con mantener a nuestros clientes y a la comunidad de ciberseguridad general al tanto de estas tendencias, de las medidas que estamos adoptando para mantener seguros los datos de nuestros clientes, y del efecto de nuestros esfuerzos como parte de nuestro compromiso con la transparencia. LastPass Labs es el centro de contenidos del equipo de inteligencia, mitigación y escalada de amenazas (TIME) en LastPass. Centramos nuestros esfuerzos en el análisis en profundidad de los desarrollos en seguridad más recientes, y estamos pendientes de la tecnología a futuro y las perspectivas de amenazas únicas. El equipo de inteligencia, mitigación y escalada de amenazas (TIME) de LastPass está enfocado en proteger a nuestra comunidad supervisando, analizando y mitigando las amenazas dirigidas a nuestros clientes, nuestra empresa y nuestra industria. El equipo cuenta con un total de casi 50 años de experiencia en inteligencia y cibernética, y cree firmemente que el intercambio de información y el desarrollo de relaciones son la clave de un programa de inteligencia de éxito. Nuestro objetivo en LastPass es proporcionar inteligencia oportuna y práctica a las partes interesadas que permita a nuestros equipos de seguridad proteger a nuestros clientes, sus datos y el conjunto de la empresa. Además de realizar análisis y notificar a nuestros equipos de seguridad sobre desarrollos en el entorno global de las ciberamenazas, también nos esforzamos en automatizar nuestros desarrollos en inteligencia en los procesos de nuestros socios y en minimizar el plazo entre la concienciación sobre las amenazas y la mitigación.