La firma de ciberseguridad Trend Micro ha detectado que el grupo de hackers Outlaw ha estado actualizando su kit de herramientas o toolkit para robar datos de empresas durante casi medio año hasta este momento.

Outlaw —que aparentemente había estado en silencio desde junio pasado— volvió a estar activo en diciembre, actualizando  las capacidades de sus kits, que ahora apuntan a más sistemas, según un análisis de Trend Micro publicado el 10 de febrero. Los kits en cuestión están diseñados para robar datos de las industrias automotriz y financiera.

Las nuevas capacidades de los kits

Los nuevos desarrollos del grupo incluyen parámetros y objetivos de escaneo, técnicas avanzadas de vulneración utilizadas para las actividades de escaneo, mejores ganancias mineras al eliminar a la competencia y a sus propios mineros anteriores, entre otros.

Según el análisis, los nuevos kits atacaron sistemas operativos basados en Linux y Unix, servidores vulnerables y dispositivos de Internet de las cosas. Los hackers también utilizaron shells web simples basados en PHP —scripts maliciosos cargados en un servidor, con el objetivo de proporcionar al atacante un acceso remoto y la administración del dispositivo. El análisis explicó, además:

“Si bien no se observaron rutinas iniciadas por phishing o ingeniería social en esta campaña, encontramos múltiples ataques a través de la red que se consideran 'ruidosos'. Estos involucraron operaciones de escaneo a gran escala de rangos IP lanzados intencionalmente desde el comando y control (C&C) servidor. Los gráficos Honeynet, que muestran los picos de actividad asociados con acciones específicas, también sugieren que los escaneos fueron cronometrados”.

Donde comenzaron los ataques

Los ataques aparentemente comenzaron desde un servidor virtual privado (VPS) que buscaba un dispositivo vulnerable para comprometer. "Una vez infectados, los comandos de C&C para el sistema infectado inician una actividad de exploración ruidosa y propagan la red de bots enviando un "kit completo" de archivos binarios a la vez con convenciones de nomenclatura iguales a las que ya están en el host de destino, probablemente contando con romper a través de 'seguridad a través de la oscuridad'”, decía la publicación.

Junto con las nuevas herramientas, Outlaw aparentemente explota códigos, scripts y comandos previamente desarrollados. El grupo también utiliza una gran cantidad de direcciones IP como entrada para escanear actividades agrupadas por país. Esto aparentemente les permite atacar regiones o áreas específicas dentro de períodos particulares del año.

El avance de las herramientas de los hackers

En junio, Trend Micro afirmó haber detectado una dirección web que propagaba una botnet con un componente de minería de Monero (XMR) junto a una puerta trasera. La empresa atribuyó el malware a Outlaw, ya que las técnicas empleadas eran casi las mismas que se usaron en operaciones anteriores.

El software en cuestión también viene equipado con capacidades de Denegación de Servicio Distribuida (DDoS), "permitiendo a los cibercriminales monetizar su botnet a través de la minería de criptomonedas y ofreciendo servicios DDoS para alquiler".

En enero, el grupo de hackers Lazarus, que supuestamente está patrocinado por el gobierno de Corea del Norte, desplegó nuevos virus para robar criptomonedas. El grupo había estado utilizando una interfaz de comercio de criptomonedas de código abierto modificada llamada QtBitcoinTrader para entregar y ejecutar código malicioso en lo que se ha llamado "Operación AppleJeus".

Sigue leyendo: