Un grupo de hackers rusos —vinculados a los servicios secretos rusos y conocidos como Gamaredon, aunque también como Primitive Bear, ACTINIUM, Armageddon y Shuckworm— que desde su nacimiento en 2014 se habían enfocado casi exclusivamente en objetivos ucranianos ha ampliado sus horizontes en los últimos meses haciendo que un malware de ciberespionaje distribuido mediante dispositivos USB infecte a una amplia gama de organizaciones en otros países.
Dicho malware es el gusano bautizado como "LitterDrifter", desarrollado usando el lenguaje de programación Visual Basic Scripting (VBS) y dotado de un diseño que lo habilita para propagarse fácilmente a través de unidades USB, infectando los dispositivos a los que se conecta y estableciendo un canal persistente de mando y control, una puerta trasera a través de la cual Gamaredon puede dar instrucciones en cualquier momento al equipo infectado.
No emplea técnicas revolucionarias, pero sí muy efectivas "para asegurarse de que pueda llegar al conjunto más amplio posible de objetivos en la región". Los investigadores de Check Point Research han detallado cómo LitterDrifter utiliza archivos .LNK (de acceso directo) como señuelo, así como una copia oculta del archivo "trash.dll" para lograr su propagación:
"Compuesto por dos componentes principales, un módulo de propagación y un módulo C2, está claro que LitterDrifter fue diseñado para respaldar una operación de recolección a gran escala".
La naturaleza indiscriminada de LitterDrifter ha llevado a infecciones en países que van desde Estados Unidos hasta Vietnam, Chile, Polonia, Alemania y Hong Kong, una repercusión global que ha podido ser detectada a través del servicio VirusTotal de Alphabet (propietarios de Google) y que supone un cambio de dinámica para el ciberespionaje ruso.
Infestados de gusanos
Según los investigadores de Check Point,
"Todo esto podría indicar que, al igual que otros gusanos USB, LitterDrifter se ha propagado más allá de sus objetivos previstos".
Los gusanos son una forma de malware que se propaga sin requerir que el usuario realice ninguna acción. Como software de auto-propagación, los gusanos son conocidos por su crecimiento explosivo a escalas exponenciales.
La propagación autónoma y el crecimiento explosivo de LitterDrifter recuerdan a otros gusanos notorios como Stuxnet y NotPetya. Estos, conocidos por su rápida expansión más allá de sus objetivos iniciales, representan un precedente alarmante para el potencial de LitterDrifter de afectar a un número aún mayor de sistemas en todo el mundo.
Los creadores de Stuxnet tenían la intención de que éste infectara sólo a un número relativamente pequeño de objetivos iraníes que participaban en el programa de enriquecimiento de uranio de ese país. En cambio, Stuxnet se propagó ampliamente, infectando unos 100.000 ordenadores en todo el mundo. Gusanos no activados por USB, como NotPetya y WannaCry, han llegado incluso a superar esas cifras.
En Genbeta | El "gusano Morris" cumple 27 años; así fue el primer malware de la historia
Ver 2 comentarios