Investigadores en ciberseguridad han revelado detalles sobre Blind Eagle, un grupo de amenazas que ha llevado a cabo ataques persistentes contra entidades e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.
Los ataques de Blind Eagle se han dirigido a diversos sectores, incluyendo instituciones gubernamentales, empresas financieras, y compañías de energía, petróleo y gas. "Blind Eagle ha mostrado una notable adaptabilidad en la elección de sus objetivos, alternando entre ciberataques con fines financieros y operaciones de espionaje", señaló Kaspersky en un informe reciente.
También conocido como APT-C-36, se cree que Blind Eagle ha estado activo al menos desde 2018. Este grupo, presumiblemente hispanohablante, es conocido por usar señuelos de phishing para distribuir una variedad de troyanos de acceso remoto (RAT) disponibles públicamente, como AsyncRAT, BitRAT, Lime RAT, NjRAT, Quasar RAT y Remcos RAT.
A principios de marzo, este grupo también ha utilizado un cargador de malware llamado Ande Loader para propagar Remcos RAT y NjRAT.
Phishing suplantando a la Procuraduría General de la República
El ataque comienza con un correo electrónico de phishing que se hace pasar por instituciones gubernamentales, financieras o bancarias legítimas. Este mensaje engañoso insta a los destinatarios a tomar medidas inmediatas, invitándolos a hacer clic en un enlace que supuestamente los llevará al sitio web oficial de la entidad que están imitando.
Además del enlace, los correos suelen incluir un archivo adjunto en formato PDF o Microsoft Word que contiene la misma URL. Estos archivos a menudo presentan detalles adicionales diseñados para aumentar la sensación de urgencia y dar al mensaje una apariencia más creíble.
Las primeras URL llevan a los usuarios a sitios web controlados por los atacantes, donde se aloja un dropper inicial. Sin embargo, antes de activar la descarga, el sistema verifica si la víctima pertenece a uno de los países objetivo del grupo. Si no es así, el usuario es redirigido al sitio legítimo de la organización que los atacantes están suplantando.
Conoce más sobre: 8 Indicios de Correos Electrónicos Falsos: ¿Cómo Identificarlos?
El dropper inicial se presenta como un archivo ZIP comprimido que contiene un script en Visual Basic (VBS). Este script tiene la tarea de descargar la siguiente fase de la carga maliciosa desde un servidor remoto que está codificado de manera fija en el script. Estos servidores pueden ser sitios de alojamiento de imágenes, plataformas como Pastebin, o servicios legítimos como Discord y GitHub.
La segunda etapa del malware, a menudo camuflada mediante técnicas esteganográficas, consiste en una DLL o un inyector .NET. Este componente luego se conecta a otro servidor malicioso para descargar el troyano de la fase final.
Esteganografía utilizada en una campaña de BlindEagle
El uso de versiones personalizadas de RAT de código abierto permite a Blind Eagle ajustar sus campañas según sus necesidades, ya sea para espionaje cibernético o para capturar credenciales financieras colombianas directamente desde el navegador de la víctima. Esto ocurre cuando los títulos de las ventanas coinciden con una lista específica de cadenas predefinidas en el malware.
También se han identificado versiones modificadas de NjRAT, equipadas con funcionalidades como el registro de teclas y la captura de pantalla, lo que les permite recopilar información sensible. Además, la versión mejorada de este malware puede instalar complementos adicionales enviados desde un servidor remoto, lo que amplía aún más sus capacidades.
Los cambios no se limitan solo a las herramientas utilizadas, sino también a los métodos de ataque. En junio de 2024, se observó la distribución de AsyncRAT a través de un cargador de malware conocido como Hijack Loader, lo que evidencia la alta adaptabilidad de estos actores de amenazas y su continua incorporación de nuevas técnicas para mantener sus operaciones.
Podría interesarte leer: Ciberseguridad en el Regreso a Clases
Dado el nivel de sofisticación de Blind Eagle, es crucial que las organizaciones adopten una postura proactiva para protegerse contra posibles ataques.
1. Capacitación en Conciencia de Seguridad: Uno de los puntos más débiles en la cadena de seguridad es el factor humano. Por lo tanto, es esencial que las organizaciones capaciten a sus trabajdores sobre las amenazas de ciberseguridad, en particular sobre cómo identificar y reportar intentos de phishing y spear-phishing.
2. Actualización y Parcheo Regular de Software: Muchas de las técnicas empleadas por Blind Eagle dependen de la explotación de vulnerabilidades en software desactualizado. Mantener todos los sistemas actualizados con los últimos parches de seguridad es una de las mejores maneras de reducir el riesgo de un ataque.
3. Implementación de Autenticación Multifactor: La autenticación multifactor (MFA) agrega una capa adicional de seguridad al requerir que los usuarios proporcionen dos o más formas de verificación antes de acceder a un sistema. Esto puede incluir una combinación de contraseñas, códigos enviados a teléfonos móviles, o incluso datos biométricos.
4. Monitoreo Continuo y Respuesta a Incidentes: Es vital que las organizaciones implementen soluciones de monitoreo continuo para detectar actividades sospechosas en sus redes. Además, deben tener planes de respuesta a incidentes bien definidos que les permitan reaccionar rápidamente en caso de un ataque.
Conoce más sobre: ¿Cómo Desarrollar un Plan de Respuesta a Incidentes?
Blind Eagle es un claro ejemplo de cómo los cibercriminales están evolucionando y adaptándose para explotar nuevas oportunidades y vulnerabilidades hoy en día. Con un enfoque particular en América Latina, este grupo representa una amenaza significativa para las organizaciones de la región.
La clave para mitigar el riesgo de un ataque de Blind Eagle (o cualquier otro grupo de cibercriminales) radica en la adopción de medidas de seguridad proactivas y la capacitación continua. Solo a través de estos esfuerzos combinados será posible fortalecer la defensa contra estas amenazas y proteger los activos más valiosos.