Un malware identificado por Kaspersky apunta a bancos, servidores y dispositivos IoT

NKAbuse, un malware que explota la tecnología blockchain, fue detectado inicialmente en un banco colombiano. Su propósito es brindar a los ciberdelincuentes control absoluto sobre los dispositivos infectados.

Luego de una alerta de un servidor bancario colombiano, los equipos de Respuesta a Emergencias (GERT) y Análisis e Investigación (GReAT) de Kaspersky identificaron a NKAbuse, un malware multiplataforma. Programado en Go, este malware facilita la comunicación directa entre dispositivos y funciona como un ‘flooder’, colapsando redes con mensajes. Permite a los ciberdelincuentes dominar los dispositivos comprometidos.

Es preocupante que NKAbuse no solo afecte a bancos sino también a servidores, routers y sistemas operativos como Linux, explotando redes peer-to-peer y blockchain. Su influencia alcanza a dispositivos IoT, incluyendo cámaras inteligentes, asistentes de voz, electrodomésticos conectados y vehículos inteligentes.

NKAbuse posee funcionalidades avanzadas como captura de pantalla, manejo de archivos, recolección de información del sistema y red, y ejecución de comandos. La información recabada se transmite al controlador del ataque a través de la red NKN, empleando comunicación descentralizada para ataques discretos y eficaces.

Este malware explota la tecnología NKN, la cual utiliza un protocolo de red peer-to-peer, lo que significa que los dispositivos se comunican directamente entre sí sin necesidad de un servidor central y usando múltiples vías de comunicación que garantizan su disponibilidad. NKN también está basado en blockchain, una tecnología que asegura la descentralización y la privacidad de las transacciones.

Lisandro Ubiedo, Investigador de Seguridad en Kaspersky explicó que, además, tiene la capacidad de infectar de manera persistente los sistemas atacados y dispone de 12 métodos diferentes de flooding o DDoS: “estos ataques saturan un sitio web, servidor o recurso de red con tráfico malicioso, sobrecargando el sistema y dejándolo inoperativo”.

“Al usar el protocolo NKN se permite realizar operaciones de manera descentralizada y anónima, aprovechando las ventajas de la tecnología blockchain para asegurar una comunicación eficiente y discreta entre los nodos infectados y los servidores de control. Como resultado, se vuelve más difícil detectar y contrarrestar estas actividades”, explicó Eduardo Chavarro, Gerente para Américas del Equipo de Investigación Global de Respuesta a Incidentes en Kaspersky.

Para evitar ser víctima de un ataque dirigido por parte de un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan:

• Actualizar con regularidad los sistemas operativos, aplicaciones y software antivirus de todos los dispositivos que se utilicen para corregir cualquier vulnerabilidad conocida.
• Proporcionar a su equipo SOC acceso a la inteligencia de amenazas (TI) más reciente. El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único a la TI de la compañía, que proporciona datos de ciberataques e información recopilada por Kaspersky durante más de 20 años.
• Capacitar a su equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas con la formación en línea de Kaspersky, desarrollada por expertos de GReAT.
• Para la detección, investigación y reparación oportuna de incidentes a nivel de endpoints, implementar soluciones EDR como Kaspersky Endpoint Detection and Response.
• Investigar las alertas y amenazas identificadas por los controles de seguridad con los servicios de Kaspersky Incident Response y su análisis forense digital para obtener información más detallada.

Para más consejos de ciberseguridad, visita nuestro blog.