La RAT Nanocore aumenta su actividad en España durante las últimas semanas

Hace unos días comentábamos como España era uno de los países donde más amenazas relacionadas con el robo de información se habían detectado durante los primeros cuatro meses de 2021, según el informe cuatrimestral de amenazas informáticas de ESET que cubre ese periodo de tiempo. Entre las amenazas que entran dentro de esta categoría encontramos una que ha sido especialmente detectada en nuestro país durante las últimas semanas, y que es usada por los delincuentes como puerta trasera de acceso a sistemas comprometidos.

Un repaso a la situación

En el mencionado informa cuatrimestral de ESET pudimos ver como en la categoría de amenazas especializadas en el robo de información (infostealers) se incluían varios códigos maliciosos como el spyware, los troyanos bancarios o las herramientas maliciosas de acceso remoto. Según los datos obtenidos por la telemetría de ESET, podemos observar como el mayor número de detecciones era para las familias de troyanos MSIL/Spy.Agent y FormBook, especializados en el robo de contraseñas y otra información confidencial.

En lo que respecta a la tendencia de la categoría infostealer, vemos como las detecciones asociadas a ella han repuntado con respecto al último periodo analizado en 2020, empujado principalmente por el aumento de las detecciones de spyware, y en segunda instancia por las herramientas maliciosas de control remoto que actúan como puerta trasera permitiendo el acceso de los delincuentes a los sistemas infectados, la descarga de malware adicional y el robo de información, entre otras acciones.

Además, resulta interesante observar en esa gráfica la presencia de picos de detección tanto en la categoría de spyware como en la de backdoors en periodos concretos, lo que representaría las diversas campañas lanzadas por los delincuentes tanto a nivel global como dirigidas a usuarios de regiones concretas.

Aumento de la actividad de Nanocore

Precisamente, una de las amenazas que aparecen en ese ranking y que ha tenido un aumento de actividad en las últimas semanas es la RAT (herramienta de acceso remoto por sus siglas en inglés) Nanocore. Esta amenaza ha protagonizado algunas campañas anteriores en España dirigidas a robar información relacionada con credenciales almacenadas en aplicaciones como clientes de correo, navegadores de Internet, clientes FTP o VPNs, e incluso ha llegado a suplantar a la Policía Nacional para conseguir su objetivo.

Si revisamos la actividad de esta amenaza a nivel global durante el último mes en el servicio Virus Radar de ESET comprobaremos como las detecciones en España destacan sobre las observadas en otras regiones del mundo. Una posible explicación sería la realización de nuevas campañas dirigidas a usuarios españoles durante las últimas semanas, lo que habría aumentado la detección de esta amenaza en nuestro país por las soluciones de seguridad de ESET.

Esto no significa que España sea el país preferido de los delincuentes para propagar sus amenazas, pero sí que confirma una tendencia que venimos monitorizando desde hace algo más de un año y que coincide con lo observado también en otros países. Con el aumento del teletrabajo y la falta de medidas de seguridad a la hora de conectarse remotamente a las redes corporativas, los delincuentes han visto una oportunidad para robar estas credenciales a los usuarios y, posteriormente, infiltrarse en las redes corporativas para robar información más interesante o incluso cifrarla y pedir un rescate.

Aun con el teletrabajo como uno de los motivos para tratar de explicar el aumento de este tipo de amenazas, no debemos olvidar que los usuarios que trabajan desde la oficina también siguen estando expuestos a este tipo de ataques si no cuentan con unas políticas y soluciones de seguridad adecuadas, además de estar concienciados acerca de las amenazas a las que están expuestos.

Conclusión

Las campañas dirigidas a usuarios de ciertas regiones son algo habitual, y últimamente los delincuentes suelen adaptarse a la idiosincrasia de cada país. No hay más que echar un vistazo a las sucesivas campañas de entrega de paquetes suplantando a empresas de logística que venimos analizando desde hace meses y que se personalizan según el país al que estén dirigidas. Por ese motivo debemos permanecer atentos, conociendo las tendencias actuales del malware, aplicando políticas de seguridad efectivas en empresas de cualquier tamaño y utilizar soluciones de seguridad capaces de detectar y eliminar las amenazas.

Josep Albors

Campaña de spam masiva ofrece arriesgadas inversiones en criptomonedas