En un reciente descubrimiento que resalta la constante evolución de las amenazas digitales, Kaspersky ha identificado NKAbuse, un malware multiplataforma que combina las tecnologías de blockchain y comunicación peer-to-peer. Esta sofisticada herramienta cibernética no solo representa una amenaza dual como flooder y puerta trasera, sino que también subraya la urgente necesidad de enfoques innovadores en la ciberseguridad corporativa.
Juan Andrés
Judith Ovando
Tecnología de vanguardia en NKAbuse
NKAbuse, desarrollado en Go, es un implante híbrido que sirve como puerta trasera/RAT (Remote Access Trojan) y flooder. Como puerta trasera, otorga a los atacantes acceso no autorizado a los sistemas, permitiendo la ejecución de comandos ocultos, robo de datos y vigilancia. En su función como flooder, NKAbuse puede desencadenar ataques DDoS, interrumpiendo las operaciones de organizaciones mediante la saturación de sus redes con tráfico incesante.
Lo que distingue a NKAbuse es su uso del protocolo NKN, basado en blockchain, que facilita operaciones descentralizadas y anónimas. Además, el malware cuenta con capacidades de captura de pantalla, gestión de archivos, recuperación de información del sistema y ejecución de comandos. Estas funciones, combinadas con la comunicación descentralizada, permiten a NKAbuse realizar ataques sigilosos y eficientes.
Lisandro Ubiedo, investigador de seguridad del Equipo Global de Análisis e Investigación de Kaspersky, afirmó:
El uso del protocolo NKN por parte del implante subraya su avanzada estrategia de comunicación, permitiendo operaciones descentralizadas y anónimas, además de aprovechar las características de blockchain de NKN para una comunicación eficiente y sigilosa entre los nodos infectados y los servidores C2. Este enfoque complica los esfuerzos de detección y mitigación. Me gustaría elogiar al equipo de Kaspersky GERT por su excepcional esfuerzo en la identificación de esta sofisticada amenaza.
NKAbuse inicia su ataque explotando la vulnerabilidad RCE CVE-2017-5638, tras la cual descarga e instala un implante en el sistema de la víctima. Este implante asegura su persistencia a través de tareas cron y se aloja en el directorio de inicio, garantizando su operación continua.
Frente a esta amenaza, Kaspersky sugiere:
- Proporcionar a su equipo SOC acceso a la inteligencia de amenazas (TI) más reciente. El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único a la TI de la compañía, que proporciona datos de ciberataques e información recopilada por Kaspersky durante más de 20 años.
- Capacitar a su equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas con la formación en línea de Kaspersky, desarrollada por expertos de GReAT.
- Para la detección, investigación y reparación oportuna de incidentes a nivel de endpoints, implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
- Investigar las alertas y amenazas identificadas por los controles de seguridad con los servicios de Kaspersky Incident Response y su análisis forense digital para obtener información más detallada.
El implante NKAbuse destaca la importancia de una ciberseguridad robusta y proactiva en el entorno corporativo. Esta amenaza multifacética no solo es un desafío técnico sino también un llamado a fortalecer las estrategias de defensa digital de las organizaciones.
¿Cómo crees que la tecnología blockchain influirá en el desarrollo de futuras amenazas de ciberseguridad para las corporaciones?
Juan Andrés
