El malware PikaBot es una amenaza emergente que está siendo distribuida por un grupo de hackers llamado Water Curupira. Este malware actúa como un cargador de otros programas maliciosos, como Cobalt Strike y Black Basta, que pueden usarse para realizar ataques de ransomware y robar datos sensibles. En este artículo, te explicaremos qué es el malware PikaBot, cómo se propaga, qué riesgos implica y cómo puedes proteger tu sistema y tu información de los hackers Water Curupira.
¿Qué es el malware PikaBot?
El malware PikaBot es un programa malicioso que se ejecuta en segundo plano y que tiene dos componentes principales: un cargador y un módulo principal. El cargador se encarga de descargar e instalar el módulo principal, que es el que establece una conexión con un servidor de control y mando (C&C) de los hackers. El módulo principal permite a los hackers acceder de forma remota al sistema infectado, ejecutar comandos arbitrarios y descargar otros programas maliciosos, como Cobalt Strike y Black Basta.
Cobalt Strike es una herramienta legítima que se usa para realizar pruebas de penetración y simulaciones de ataques, pero que también puede ser usada por los hackers para infiltrarse en redes, evadir defensas y desplegar ransomware. Black Basta es un ransomware que cifra los archivos del sistema y exige un rescate para recuperarlos.
El malware PikaBot es similar al QakBot, otro malware que fue desmantelado en agosto de 2023, y que también se usaba para distribuir Cobalt Strike y otros programas maliciosos. Se cree que el aumento de las campañas de phishing relacionadas con PikaBot se debe a la sustitución de QakBot por parte de los hackers.
Te podrá interesar leer: Desmantelamiento de Qakbot: Un Caso de Éxito en Ciberseguridad
Alerta: Los hackers de water curupira actúan activamente
Malware del cargador PikaBot
Se ha observado que un actor de amenazas, distribuye activamente el malware del cargador PikaBot como parte de campañas de spam en 2023.
"Los operadores de PikaBot ejecutaron campañas de phishing, dirigidas a las víctimas a través de sus dos componentes, un cargador y un módulo central, que permitieron el acceso remoto no autorizado y permitieron la ejecución de comandos arbitrarios a través de una conexión establecida con su servidor de comando y control (C&C)", informó una fuente en un informe.
La actividad comenzó en el primer trimestre de 2023 y duró hasta finales de junio, antes de intensificarse nuevamente en septiembre. También se superpone con campañas anteriores que han utilizado tácticas similares para entregar QakBot, específicamente aquellas orquestadas por grupos de ciberdelincuencia conocidos como TA571 y TA577.
Se cree que el aumento en el número de campañas de phishing relacionadas con PikaBot es el resultado de la caída de QakBot en agosto, con DarkGate emergiendo como otro reemplazo. PikaBot es principalmente un cargador, lo que significa que está diseñado para lanzar otra carga útil, incluido Cobalt Strike, un conjunto de herramientas legítimo post-explotación que normalmente actúa como precursor de la implementación de ransomware.
Podría interesarte: Resurrección de DarkGate y PikaBot: Una Alerta en el Mundo del Malware
Las cadenas de ataque aprovechan una técnica llamada secuestro de hilos de correo electrónico, empleando hilos de correo electrónico existentes para engañar a los destinatarios para que abran enlaces o archivos adjuntos maliciosos, activando efectivamente la secuencia de ejecución del malware.
Los archivos adjuntos ZIP, que contienen archivos JavaScript o IMG, se utilizan como plataforma de lanzamiento para PikaBot. El malware, por su parte, comprueba el idioma del sistema y detiene la ejecución si es ruso o ucraniano. En el siguiente paso, recopila detalles sobre el sistema de la víctima y los reenvía a un servidor C&C en formato JSON. Las campañas de este actor de amenazas tienen como objetivo eliminar Cobalt Strike, lo que posteriormente condujo a la implementación del ransomware Black Basta.
"El actor de amenazas también llevó a cabo varias campañas de spam DarkGate y una pequeña cantidad de campañas IcedID durante las primeras semanas del tercer trimestre de 2023, pero desde entonces se ha centrado exclusivamente en PikaBot", informó la fuente.
¿Cómo protegerse del malware PikaBot y los hackers Water Curupira?
Para protegerse del malware PikaBot y los hackers Water Curupira, se recomienda seguir una serie de medidas preventivas y de detección, tales como:
- Mantener el sistema y las aplicaciones actualizadas, para corregir posibles vulnerabilidades que puedan ser explotadas por los hackers.
- Usar un antivirus y un firewall, para detectar y bloquear posibles amenazas y actividades sospechosas.
- Evitar abrir correos, enlaces o adjuntos de remitentes desconocidos o que parezcan sospechosos, y verificar la autenticidad de los mensajes antes de responder o interactuar con ellos.
- Realizar copias de seguridad periódicas de los archivos importantes, para poder recuperarlos en caso de pérdida o cifrado por ransomware.
- Educar y concienciar a los usuarios y empleados sobre los riesgos del phishing y el malware, y las mejores prácticas para evitarlos.
Podría interesarte leer: Concientización: Esencial en la Ciberseguridad de tu Empresa
Conclusión
El malware PikaBot es una amenaza que está siendo distribuida por un grupo de hackers llamado Water Curupira, que tiene como objetivo infectar sistemas y redes con programas maliciosos, que pueden usarse para realizar ataques de ransomware y robar datos sensibles. Para protegerse de esta amenaza, es importante seguir una serie de medidas preventivas y de detección, como mantener el sistema actualizado, usar un antivirus, implementar soluciones de seguridad robustas como el SOC as a Service de TecnetOne, evitar el phishing y realizar copias de seguridad. Así, podremos evitar o minimizar los daños que puede causar el malware PikaBot y los hackers Water Curupira.