El mundo de la ciberseguridad se encuentra nuevamente en alerta tras el resurgimiento del infame Carbanak Banking Malware, según reportes recientes. En este artículo explicaremos de manera sencilla y clara el concepto del malware Carbanak, su historia, cómo funciona, las recientes amenazas asociadas, y las medidas preventivas que se pueden adoptar.
Carbanak es un tipo de malware avanzado específicamente diseñado para atacar instituciones financieras. Este software malicioso, que inicialmente ganó notoriedad en 2015, es conocido por su capacidad para infiltrarse en sistemas bancarios, manipular transacciones y robar grandes sumas de dinero. Es una combinación de técnicas de "phishing", "spear-phishing", y explotación de vulnerabilidades en sistemas de seguridad.
Carbanak ha evolucionado significativamente desde su primera aparición. Originalmente, se dirigía principalmente a bancos en Europa del Este. Sin embargo, su alcance se ha expandido globalmente, afectando a instituciones en más de 40 países y causando pérdidas estimadas en miles de millones de dólares.
Te podrá interesar leer: Ataques de Spear Phishing: ¿Cómo Reconocerlos?
Se ha observado que el malware bancario conocido como Carbanak está siendo utilizado en ataques de ransomware con estrategias actualizadas. Según un análisis realizado sobre los ataques de ransomware ocurridos en noviembre de 2023, se ha observado que Carbanak ha evolucionado para incorporar nuevos métodos y tácticas con el fin de aumentar su efectividad.
En estos nuevos ataques, Carbanak ha regresado a la escena utilizando cadenas de distribución renovadas y se ha distribuido a través de sitios web comprometidos que se hacen pasar por software empresarial legítimo, incluyendo programas populares como HubSpot, Veeam y Xero.
Carbanak, que ha estado activo en la naturaleza desde al menos 2014, es conocido por sus capacidades de exfiltración de datos y control remoto. Inicialmente surgió como un malware bancario y posteriormente fue utilizado por el grupo de ciberdelincuentes FIN7.
Podrá interesarte: Troyanos Bancarios: Creciente Amenaza en Latinoamérica
En la última cadena de ataques documentada, los sitios web comprometidos han sido diseñados para alojar archivos de instalación maliciosos que se disfrazan como utilidades legítimas, lo que desencadena la implantación de Carbanak.
Estos desarrollos son preocupantes, ya que se ha observado un aumento significativo en los ataques de ransomware en noviembre, con 442 incidentes reportados en comparación con los 341 de octubre de 2023. En lo que va del año, se han registrado un total de 4,276 casos, lo que representa una cifra considerablemente mayor que la suma de los incidentes de 2021 y 2022 combinados, que fueron 5,198.
Los sectores más afectados por estos ataques han sido la industria (33%), el consumo cíclico (18%) y la atención médica (11%), con América del Norte (50%), Europa (30%) y Asia (10%) como las principales regiones objetivo.
En cuanto a las familias de ransomware más frecuentemente detectadas, LockBit, BlackCat y Play representaron el 47% de los 442 ataques. Con la desarticulación de BlackCat por parte de las autoridades, queda por verse el impacto que esta acción tendrá en el panorama de las amenazas en el futuro cercano.
Este aumento en los ataques de ransomware en noviembre ha sido respaldado por la empresa de seguros cibernéticos Corvus, que informó haber identificado 484 nuevas víctimas de ransomware cuyos datos fueron publicados en sitios de filtración.
Por otro lado, se ha notado un cambio en el ecosistema del ransomware alejándose de QBot (también conocido como QakBot) debido a la eliminación de su infraestructura por parte de las autoridades policiales. Sin embargo, Microsoft reveló recientemente detalles sobre una campaña de phishing de bajo volumen que distribuye este malware, lo que subraya los desafíos en la lucha contra estos grupos.
Además, Kaspersky ha señalado que las medidas de seguridad implementadas en el ransomware Akira han impedido que su sitio de comunicación sea analizado al generar excepciones al intentar acceder al sitio mediante un depurador en el navegador web. La empresa de ciberseguridad también ha destacado la explotación de diferentes vulnerabilidades en el controlador del Sistema de archivos de registro común (CLFS) de Windows por parte de los operadores de ransomware para lograr la escalada de privilegios. Entre estas vulnerabilidades se incluyen CVE-2022-24521, CVE-2022-37969, CVE-2023-23376 y CVE-2023-28252, todas ellas con puntuaciones CVSS de 7.8.
Te podrá interesar leer: Qbot Ataca de Nuevo a la Industria Hotelera
La prevención y detección temprana son clave en la lucha contra Carbanak. Algunas recomendaciones incluyen:
El resurgimiento de Carbanak es un recordatorio crítico de la naturaleza dinámica y en constante evolución de las amenazas cibernéticas. Las instituciones financieras y las empresas deben estar en constante vigilancia, actualizar sus prácticas de ciberseguridad y educar a sus empleados para combatir estas amenazas sofisticadas.