Aunque el ransomware sigue dominando los titulares, de hecho una forma insidiosa de malware conocida como "infostealers" (forma abreviada de "malware de robo de información") es mucho más habitual y afecta a todo tipo de ámbitos, desde grandes corporaciones hasta ordenadores personales. El objetivo de los "infostealers" es obtener información confidencial de los sistemas infectados, como contraseñas, monederos de criptomonedas, cookies de sesión, datos financieros y otros datos personales para su filtración rápida al atacante.
Muchos "infostealers" están a la venta en la categoría de "malware como servicio (MaaS)". Los delincuentes pueden comprar una suscripción (a menudo por unos cientos de dólares al mes) que les permite acceder al malware para su propio uso y objetivos; por su parte, el mantenimiento y el alojamiento del malware sigue en manos del desarrollador que lo vende. Esto ayuda a reducir la barrera tecnológica de entrada a la que se enfrentan los ciberdelincuentes, lo que provoca la expansión rápida de los "infostealers" como una ciberamenaza más amplia.
¿Cómo se infectan las víctimas?
Las víctimas pueden infectarse a través de diversos métodos, como el phishing de correos electrónicos, la visita a sitios web infectados o las aplicaciones fraudulentas. Una vez que el ordenador o la red están infectados, el malware se ejecutará, buscando identificar y filtrar rápidamente información crítica (incluyendo, si es posible, las contraseñas maestras de Last Pass) de los navegadores y otras carpetas importantes. Los atacantes emplearán estos datos para acceder a cuentas confidenciales, o bien volverán a empaquetar la información para venderla en mercados, foros u otros sitios delictivos.
Actualmente el precio medio es de aproximadamente 10 $ por registro, y en cualquier momento hay millones de registros disponibles para su venta, lo que demuestra la naturaleza generalizada y habitual de la amenaza de los "infostealers". Estos registros incluyen credenciales y otros datos confidenciales de víctimas que abarcan desde multinacionales hasta pequeñas empresas o cuentas personales individuales robadas de un ordenador personal.
¿Cómo ha reaccionado LastPass?
Para empezar, y como parte de nuestros esfuerzos para mejorar nuestras capacidades de seguridad, LastPass ha invertido cantidades considerables en nuestro programa de inteligencia sobre ciberamenazas. Esto incluye la creación de un equipo de inteligencia, mitigación y escalada de amenazas (TIME) dedicado, que permite ampliar en gran medida nuestro sistema de supervisión y alertas de inteligencia sobre amenazas aprovechando el código abierto y los informes propios, así como supervisar de manera proactiva fuentes de la Dark Web para detectar actividades maliciosas. También ponemos en práctica esta inteligencia automatizando su integración con nuestros equipos de detección, respuesta y gestión de vulnerabilidades, lo que permite acelerar el plazo de mitigación. Finalmente, hemos desarrollado un proceso dedicado y enfocado para supervisar y alertar sobre las credenciales de clientes expuestas para los clientes que participan en el control de Dark Web.
Como cabría esperar, la comunidad de "infostealers" valora en gran medida las contraseñas maestras, teniendo en cuenta su potencial para ofrecer acceso a la bóveda de un cliente y a sus datos y contraseñas confidenciales. Aunqaue existen docenas de "infostealers", actualmente LastPass rastrea tres variedades de malware que suelen publicitar la venta de credenciales de clientes de LastPass:
- Redline: este software de robo MaaS está disponible desde 2020 y es uno de los más extendidos.
- Raccoon: existe variedades de este software de robo desde 2019.
- Vidar: disponible al menos desde 2018, este software de robo también es capaz de hacer capturas de pantalla.
- Utilice la autenticación multifactor (MFA) siempre que esté disponible para proteger sus cuentas. No acepte ni apruebe solicitudes de MFA que no haya generado usted explícitamente.
- No confíe en las aplicaciones que se ofrecen a través de canales no tradicionales (por ejemplo, fuera de las tiendas de aplicaciones tradicionales).
- Utilice un programa antivirus y actualícelo periódicamente o, mejor aún, prográmelo para que se actualice automáticamente.
- No guarde su contraseña maestra en su dispositivo, ni siquiera en las opciones de autocompletado que ofrece el navegador.