Hackers están bloqueando a operadores de malware desde sus propias bases de datos
Expertos en investigaciones de hacking y seguridad informática encontraron un fallo en la codificación del software, la cual permite bloquear a operadores del malware llamado Mars Stealer de sus propios servidores. Todo esto sirve para liberar a las víctimas del ataque y evitar que paguen rescates.
El software Mars Stealer es un malware de robo de datos como servicio. Este ataque permite a los ciberdelincuentes “alquilar” un acceso a la plataforma y desde allí lanzar sus propios ataques. Este malware es distribuido a través de archivos adjuntos del email, además, aparece en anuncios maliciosos y viene incluido con archivos de torrent en plataformas para compartir y descargar todo tipo de archivos.
Una vez que la red o el computador resultan infectados, el programa roba las contraseñas de la víctima y la autenticación de 2 factores de los navegadores web. Además, el malware se encarga de sustraer las criptomonedas de las billeteras digitales. Esta amenaza también se emplea para entregar otros virus, como el ransomware.
Hace algún tiempo, fue filtrado en Internet una copia totalmente descifrada de Mars Stealer la cual permitía que cualquier individuo pudiese hacer su servidor propio de comando y control.
Sin embargo, poseía una documentación deficiente, guiando a los posibles criminales a establecer configuraciones que podrían exponer sus datos de usuario robados de los dispositivos de las víctimas. Se dieron algunos casos de que los operadores del malware se infectaron sin darse cuenta, exponiendo así sus propios datos privados.
Si no quieres tener problemas con tus datos, TIC Defense te ofrece una amplia gama de soluciones y servicios orientados a proteger tus sistemas de información. Desde soluciones antimalware básicas, hasta soluciones contra ransomware sofisticado desarrolladas a partir de IA.
En estos momentos, una startup que se encarga de hacer pruebas de penetración, llamada Buguard, descubrieron una vulnerabilidad en este malware que permite el ingreso de forma remota y sabotear los servidores de comando y control que son empleados para sustraer datos de los ordenadores infectados de las víctimas.
Cuando se explota dicha vulnerabilidad, borra los registros del servidor objetivo de este malware y cierra todas las sesiones activas. De esta manera, corta los enlaces con las computadoras de las víctimas, codificando las contraseñas para que los perpetradores no puedan iniciar sesión de nuevo.
Esto hace que los perpetradores pierdan el acceso a todos los datos que se han robado. Para volver a captar o robar información, tendría que atacar nuevamente y volver a infectar las computadoras de las víctimas.
La acción de atacar los servidores de los ciberdelincuentes se le llama “hacking back”. Es una técnica poco ortodoxa, por lo que se está debatiendo si las agencias de ciberseguridad deben emplearla, pro sus ventajas como sus desventajas. Además, en países como los Estados Unidos, esta nueva técnica está reservada solo para las agencias del gobierno.
La startup en cuestión ha descubierto e inutilizado 5 servidores que usan los hackers maliciosos de Mars Stealer hasta los momentos. Después, 4 de ellos fueron desconectados. Los especialistas manifestaron que no van a hacer pública la vulnerabilidad para no alertar a los ciberdelincuentes, pero van a compartir con esta información con las autoridades.
