Maldición de Krasue: Group-IB descubre nuevo troyano de acceso remoto para Linux dirigido a empresas en Tailandia
En un preocupante descubrimiento, Group-IB, líder en la creación de tecnologías de ciberseguridad para combatir el crimen digital, ha identificado un nuevo y sofisticado Troyano de Acceso Remoto (RAT) diseñado para sistemas Linux. Esta amenaza ha sido utilizada por ciberdelincuentes con el objetivo de mantener acceso sigiloso a las redes de empresas, centrándose exclusivamente en compañías ubicadas en Tailandia.
El Peligro Latente de Krasue
Nombrado Krasue por la unidad de Inteligencia de Amenazas de Group-IB, en referencia al espíritu nocturno en la mitología del sudeste asiático, este RAT ha estado activo desde al menos 2021, operando en las sombras y eludiendo detecciones durante un periodo significativo.
La amenaza central radica en la capacidad de Krasue para mantener acceso persistente a las redes objetivo. Aunque los objetivos identificados hasta ahora se centran en empresas de telecomunicaciones en Tailandia, existe la posibilidad de que esta amenaza haya sido utilizada en ataques contra organizaciones de otros sectores.
Tecnología Avanzada para la Infiltración Silenciosa
Group-IB ha revelado que Krasue utiliza múltiples técnicas para su propagación. Desde la explotación de vulnerabilidades hasta ataques de fuerza bruta contra credenciales, el RAT se infiltra sigilosamente en los sistemas. Además, la posibilidad de ser descargado como parte de paquetes engañosos desde fuentes no confiables agrega una capa adicional de complejidad a su detección.
La presencia de un rootkit en el núcleo de Krasue es particularmente inquietante. Este componente, basado en tres rootkits de módulo de kernel de Linux de código abierto, sugiere una sofisticación técnica. Además, siete rootkits integrados permiten su funcionamiento en diversas versiones de Linux, ampliando su alcance y dificultando su erradicación.
Innovación en la Comunicación Encubierta
Lo más intrigante es el uso del Protocolo de Transmisión en Tiempo Real (RTSP) para la comunicación con el servidor de comando y control (C2). Aunque poco común, esta táctica sugiere una estrategia astuta para evadir la detección.
Respuesta Rápida y Colaboración Integral
Group-IB, comprometido con la lucha contra el cibercrimen, ha notificado rápidamente a sus clientes sobre esta amenaza y ha compartido información clave con las autoridades tailandesas de respuesta a emergencias informáticas (ThaiCERT y TTC-CERT). Esta colaboración es esencial para abordar la magnitud del riesgo y proteger proactivamente a las organizaciones afectadas.
Un Llamado a la Vigilancia Continua
Este descubrimiento subraya la necesidad de una vigilancia constante en el panorama de ciberseguridad. Las empresas, especialmente en Tailandia, deben reforzar sus medidas de seguridad y considerar las recomendaciones proporcionadas por Group-IB para la detección y mitigación de esta amenaza.
Group-IB seguirá monitoreando la propagación de Krasue y trabajará incansablemente para proteger a las organizaciones contra esta nueva y preocupante amenaza cibernética.
Para obtener más información, se puede acceder al informe completo en el blog de Group-IB sobre este descubrimiento.
Krasue – El Troyano Acechante Inspirado en el Folclore del Sudeste Asiático Descubierto por Group-IB
En un sorprendente hallazgo, la unidad de Inteligencia de Amenazas de Group-IB ha identificado un nuevo y sigiloso Troyano de Acceso Remoto (RAT) denominado Krasue. Este troyano, bautizado en referencia al nombre tailandés de un espíritu nativo nocturno presente en el folclore del sudeste asiático, ha estado activo desde al menos 2021, operando en las sombras sin ser detectado durante un considerable período.
Krasue: Un Acechador Digital Inspirado en el Misterio Nocturno
El nombre “Krasue” se inspira en la mitología tailandesa, donde representa un espíritu nocturno con características únicas. De manera análoga, el troyano lleva consigo una aura de misterio y sigilo mientras se infiltra en las redes de empresas, específicamente aquellas ubicadas en Tailandia.
Un Acecho Silencioso desde 2021
Desde su identificación, se ha confirmado que Krasue ha estado operando desde al menos 2021. Su capacidad para permanecer invisible durante un tiempo considerable resalta su sofisticación y astucia en eludir las medidas de seguridad tradicionales.
La Influencia del Folclore en el Ciberespacio
La elección del nombre no es casualidad; refleja la complejidad y la habilidad de Krasue para moverse sin ser visto, similar a su homónimo en el folclore. Este enfoque astuto le permite al troyano mantenerse en las sombras y operar sin ser detectado durante extensos periodos, representando un desafío significativo para las defensas cibernéticas.
Un Llamado a la Vigilancia y a la Mitigación Activa
El descubrimiento de Krasue subraya la importancia de una vigilancia continua y la necesidad de medidas proactivas de mitigación de amenazas en el espacio digital. Las empresas, especialmente en Tailandia, deben estar alerta y fortalecer sus estrategias de ciberseguridad para enfrentar esta nueva y sigilosa amenaza.
Group-IB Refuerza Compromiso de Monitoreo y Colaboración Contra Krasue
Group-IB, pionero en tecnologías de ciberseguridad, reafirma su compromiso con la seguridad digital al anunciar su dedicación continua al monitoreo de la evolución de Krasue. Esta amenaza, que ha sido confirmada como utilizada contra empresas de telecomunicaciones en Tailandia, presenta una preocupación generalizada dada su sofisticación y probable participación en ataques dirigidos a organizaciones en diversos sectores.
Protegiendo a Empresas: Más Allá de las Telecomunicaciones
En esta fase de investigación, los expertos de Group-IB han validado que Krasue fue empleado específicamente contra empresas de telecomunicaciones en Tailandia. No obstante, la probabilidad de su participación en ataques dirigidos a otras industrias es alta. Este hecho subraya la importancia de la vigilancia constante y la necesidad de adaptar las medidas de seguridad cibernética en una variedad de sectores.
Colaboración Estrecha con Autoridades y Acciones Proactivas
Group-IB no solo monitorea activamente la evolución de Krasue, sino que también refuerza su compromiso de colaborar estrechamente con las autoridades pertinentes. La colaboración activa con entidades gubernamentales y organismos de respuesta a emergencias informáticas es esencial para abordar la magnitud del riesgo y proteger proactivamente a las organizaciones afectadas.
Acceso al Informe Detallado y Medidas de Mitigación
Para proporcionar una defensa efectiva contra Krasue, Group-IB ha publicado un informe completo que detalla la amenaza y ofrece medidas recomendadas de mitigación. Este informe, disponible en el blog oficial de Group-IB, brinda a las organizaciones los recursos necesarios para fortalecer sus defensas cibernéticas y protegerse contra esta sofisticada amenaza.
Group-IB insta a todas las organizaciones a acceder al informe y tomar medidas proactivas para salvaguardar sus redes y activos digitales. La ciberseguridad es una responsabilidad compartida, y Group-IB está comprometido a liderar la lucha contra amenazas emergentes para garantizar un entorno digital seguro.
Group-IB Responde Rápidamente al Descubrimiento de Krasue y Fomenta Colaboración Global en Ciberseguridad
En un esfuerzo determinado por salvaguardar la seguridad digital, Group-IB actuó con celeridad al descubrir la amenaza de Krasue. Los clientes de la Inteligencia de Amenazas de Group-IB recibieron notificaciones inmediatas sobre este riesgo crítico, demostrando el compromiso de la empresa con la protección proactiva de sus usuarios.
Transparencia y Acción: Herramientas para la Detección Activa
En respuesta a la amenaza de Krasue, Group-IB ha compartido valiosa información en su blog, incluyendo una lista exhaustiva de reglas YARA. Estas reglas proporcionan a las organizaciones las herramientas necesarias para llevar a cabo una detección activa y una respuesta efectiva ante la presencia de este RAT en sus sistemas.
Colaboración Internacional para Combatir el Cibercrimen
El Equipo de Respuesta a Emergencias Informáticas de Group-IB (GIB-CERT) ha extendido su colaboración más allá de las fronteras, compartiendo el informe detallado sobre Krasue con el Equipo de Respuesta a Emergencias Informáticas de Tailandia (ThaiCERT) y el Equipo de Respuesta a Emergencias Informáticas del Sector de Telecomunicaciones de Tailandia (TTC-CERT). Esta acción refleja la política de tolerancia cero de Group-IB hacia el cibercrimen y destaca la importancia de una colaboración global para hacer frente a amenazas cibernéticas de alcance internacional.
Investigación Continua y Difusión de Conocimiento
Group-IB ha intensificado sus esfuerzos en investigación y divulgación para comprender completamente la magnitud y la naturaleza de la amenaza de Krasue. Esta iniciativa busca no solo proteger a los clientes actuales de Group-IB, sino también contribuir al conocimiento colectivo en la lucha contra el cibercrimen.
Un Llamado a la Comunidad Global de Ciberseguridad
En un llamado a la acción, Group-IB insta a la comunidad global de ciberseguridad a unirse en la detección y mitigación de Krasue. La transparencia y el intercambio de información son esenciales para fortalecer las defensas cibernéticas y proteger a las organizaciones contra amenazas cada vez más sofisticadas.
Group-IB se mantiene firme en su compromiso de liderar la lucha contra el cibercrimen y trabajar en estrecha colaboración con socios y entidades gubernamentales para garantizar un ciberespacio seguro.
La funcionalidad central de Krasue radica en su capacidad para mantener el acceso a una red objetivo, en el verano de 2023.
No se ha determinado el vector de infección inicial y la escala completa de su uso, pero el RAT de Linux probablemente pueda ingresar a los sistemas mediante la explotación de vulnerabilidades, ataques de fuerza bruta de credenciales o, menos comúnmente, descargado como parte de un paquete o binario engañoso (es decir, un archivo que se hace pasar por una actualización de producto) desde una fuente no confiable de terceros.
El malware puede ocultar su propia presencia durante la fase de inicialización, lo que significa que puede evadir la detección.
Los expertos de Group-IB creen que Krasue es desplegado por actores maliciosos ya sea como parte de una botnet, o el acceso a Krasue se vende a otros ciberdelincuentes, como grupos de ransomware, por intermediarios de acceso inicial (IAB, por sus siglas en inglés).
En el corazón de Krasue se encuentra su rootkit, un software utilizado por ciberdelincuentes para mantener acceso privilegiado a una computadora mientras oculta su presencia.
El rootkit de Krasue se basa en tres rootkits de módulo de kernel de Linux de código abierto y públicamente disponibles, y los investigadores de Group-IB también encontraron que Krasue contenía siete rootkits integrados que le permiten funcionar en diferentes versiones de Linux.
El rootkit de Krasue también presenta múltiples similitudes con XorDdos, otro malware para Linux. Como resultado, los expertos de Group-IB creen que Krasue fue creado por el mismo autor que XorDdos, o por un individuo que tenía acceso al código fuente de XorDdos.
Cabe destacar que Krasue utiliza el Protocolo de Transmisión en Tiempo Real (RTSP, por sus siglas en inglés) —un protocolo de red diseñado para controlar la entrega de transmisiones multimedia en tiempo real a través de redes IP— para comunicarse con su servidor de comando y control (C2). Los investigadores de Group-IB sospechan que esta táctica es un ardid que ayuda a Krasue a evadir la detección, aunque señalan que el uso de RTSP para este propósito es altamente inusual.
“Group-IB está comprometido con la lucha contra el cibercrimen en todas sus formas, y el descubrimiento de Krasue, un sofisticado Troyano de Acceso Remoto para Linux que ha apuntado a organizaciones en Tailandia, subraya la necesidad de una vigilancia constante.
La respuesta rápida de Group-IB al descubrimiento de este malware y el intercambio de información con ThaiCERT y TTC-CERT son pasos vitales para contrarrestar esta amenaza.
Group-IB continuará monitoreando la propagación de Krasue tanto dentro de Tailandia como en otras geografías, y tomará todas las medidas para informar proactivamente a las partes afectadas”, comentó Benyatip Hongto, Gerente de Desarrollo de Negocios de Group-IB en Tailandia.
Group-IB Fortalece su Presencia en Tailandia para Combatir el Crimen Digital
En un esfuerzo determinante por abordar los crecientes riesgos cibernéticos en Tailandia, Group-IB ha consolidado su compromiso con la seguridad digital a través de iniciativas estratégicas y colaborativas.
Centro de Resistencia contra el Crimen Digital: Apoyo Localizado y Defensas Reforzadas
En marzo de 2023, Group-IB anunció su ambicioso plan de establecer un Centro de Resistencia contra el Crimen Digital en Tailandia.
Este centro no solo servirá como bastión contra las amenazas digitales emergentes, sino que también proporcionará apoyo localizado a las organizaciones tailandesas, fortaleciendo así las defensas cibernéticas en todo el país.
Fortaleciendo Alianzas Clave en la Ciberseguridad Tailandesa: Group-IB y nForce
En un paso estratégico hacia la fortificación de la ciberseguridad en Tailandia, Group-IB ha establecido una alianza fundamental con nForce, el principal distribuidor de ciberseguridad en el país.
Colaboración Estratégica para la Seguridad Digital
La asociación entre Group-IB y nForce representa un hito significativo en el panorama tailandés de ciberseguridad. Esta colaboración estratégica tiene como objetivo principal expandir la presencia de Group-IB en la región y, al mismo tiempo, brindar a las organizaciones tailandesas un acceso simplificado a tecnologías de ciberseguridad de vanguardia.
Ampliando el Acceso a Tecnologías Avanzadas de Ciberseguridad
La experiencia y el liderazgo de nForce como distribuidor principal en el ámbito de la ciberseguridad garantizan que las organizaciones tailandesas tengan acceso a soluciones avanzadas y probadas en el campo de la protección digital. Group-IB, reconocido por su innovación en tecnologías de ciberseguridad, se beneficia de esta alianza para extender su impacto positivo en la región.
Beneficios para las Organizaciones Tailandesas
La colaboración entre Group-IB y nForce se traduce en beneficios tangibles para las organizaciones tailandesas. Estas empresas pueden ahora acceder de manera más eficiente a herramientas y servicios de ciberseguridad de última generación, lo que fortalece sus defensas ante las amenazas digitales en constante evolución.
Un Enfoque Integral para la Ciberseguridad
La sinergia entre Group-IB y nForce refleja un enfoque integral para abordar los desafíos cibernéticos en Tailandia. La combinación de la experiencia en ciberseguridad de nForce y la innovación tecnológica de Group-IB promete un impacto positivo en la resistencia cibernética del país.
Compromiso Continuo con la Seguridad Digital
Esta alianza estratégica no solo marca un hito, sino que también demuestra el compromiso continuo de ambas empresas con la seguridad digital en Tailandia. Juntas, Group-IB y nForce están preparadas para desempeñar un papel crucial en el fortalecimiento de las defensas cibernéticas y la mitigación de las amenazas en la región.
Compromiso Gubernamental: Memorando de Entendimiento con el Instituto de Tecnología de Defensa
En un gesto significativo, Group-IB firmó un memorando de entendimiento con el Instituto de Tecnología de Defensa, una agencia gubernamental bajo la supervisión del Ministro de Defensa de Tailandia. Este acuerdo tiene como objetivo mejorar el intercambio de conocimientos y fomentar la colaboración en el desarrollo del Programa de la Academia Cibernética del Instituto de Tecnología de Defensa.
Impulsando la Educación y la Colaboración
La iniciativa de Group-IB no solo se centra en la protección activa contra amenazas cibernéticas, sino también en la educación y el desarrollo de capacidades en el ámbito de la ciberseguridad. La colaboración con el Instituto de Tecnología de Defensa refuerza este compromiso al avanzar en programas educativos especializados.
Proyección Futura: Contribuir al Ciberespacio Seguro de Tailandia
Con estas acciones, Group-IB se posiciona como un socio integral en la lucha contra el crimen digital en Tailandia. A través de su presencia local, alianzas estratégicas y compromiso con la educación, la empresa busca contribuir significativamente a la creación de un ciberespacio seguro y resiliente en el país.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
LEA MÁS SOBRE CIBERSEGURIDAD EN;
SSH Vulnerable: Riesgo Latente en Claves (2023)
Capa 8, 20% de los incidentes en Latam, vienen de un error humano
Vulnerabilidades de billeteras cripto 2023: nadie parchea un castillo de cartas
Ciberseguridad: 3 pilares que garantizan la protección de datos
DNI electrónico: iProov el mejor complemento 2023
NO TE PIERDAS EL ÚLTIMO IT CONNECT SECURE STREAM