Un nuevo actor de amenazas ha sido identificado por Cisco Talos, una empresa de ciberseguridad, que ha estado operando desde 2022 con motivaciones financieras. Este ciberatacante ha comenzado a distribuir una variante del conocido ransomware MedusaLocker, llamada “BabyLockerKZ”, que ha puesto en jaque a organizaciones de todo el mundo, especialmente en la Unión Europea y América Latina, incluyendo México.
¿Qué es “BabyLockerKZ”?
La variante “BabyLockerKZ” se propaga utilizando herramientas de ataque que son de acceso público, además de binarios “living-off-the-land” (LoLBins), que son herramientas que el propio atacante crea para robar credenciales y moverse lateralmente dentro de las organizaciones comprometidas. Estos métodos permiten al atacante infiltrarse de manera más discreta y efectiva en los sistemas de sus víctimas.
Desde finales de 2022, la mayoría de las víctimas se han registrado en países europeos como Francia, Alemania, España e Italia. Sin embargo, a partir de 2023, el grupo ha redirigido su atención hacia países latinoamericanos, lo que ha provocado que el número de víctimas mensuales se duplique en regiones como Brasil, México, Argentina y Colombia. En promedio, más de 100 organizaciones son comprometidas mensualmente, reflejando la profesionalidad y agresividad de sus ataques.
Técnicas de Infección
El ransomware se propaga a través de técnicas comunes como correos de phishing, explotación de vulnerabilidades en Internet y la compra de credenciales en mercados oscuros. Una vez dentro del sistema, el atacante utiliza carpetas comunes, como las de música o documentos, para almacenar sus herramientas maliciosas y ejecutar el ransomware.
¿Cómo Protegerse?
Cisco Talos recomienda varias medidas para detectar y bloquear esta amenaza, entre las que se incluyen:
- Endpoints seguros: Implementar dispositivos seguros para prevenir la ejecución del malware.
- Escaneo web: Impedir el acceso a sitios web maliciosos.
- Protección avanzada de bandejas de entrada: Bloquear correos electrónicos maliciosos.
- Firewalls: Detectar actividad maliciosa.
- Análisis de red: Monitorear tráfico y alertar sobre actividades sospechosas.
- Autenticación multifactor: Asegurar que solo usuarios autorizados accedan a la red.
Conclusión
La aparición de “BabyLockerKZ” subraya la importancia de fortalecer las medidas de seguridad cibernética, especialmente en un panorama donde los actores de amenazas están en constante evolución. Las organizaciones deben estar alertas y preparadas para responder a estos desafíos para proteger sus datos y operaciones.
