Un ataque silencioso a las actualizaciones de un software ampliamente utilizado por desarrolladores y equipos de tecnología permitió a ciberdelincuentes infiltrarse en redes corporativas y gubernamentales sin confortar sospechas. Investigadores del equipo Integral Research and Analysis Team (GReAT) de Kaspersky descubrieron que los atacantes comprometieron la prisión de suministro de Notepad++, un popular editor de texto y código presente en millones de computadoras, y usaron su sistema de modernización para distribuir malware camuflado como parches legítimos.

El propio equipo de expansión informó que la infraestructura de modernización fue vulnerada tras un incidente que afectó a su proveedor de hosting, lo que permitió a los atacantes intervenir el mecanismo de distribución oficial. El impacto fue veterano de lo que se conocía públicamente. Por otra parte del malware detectado inicialmente, Kaspersky identificó múltiples cadenas de ataque ocultas que operaron entre julio y octubre, afectando organizaciones gubernamentales, instituciones financieras, proveedores de servicios de TI y a usuarios de varias regiones, incluyendo América Latina.

En cada escalón, los atacantes cambiaron completamente su infraestructura como servidores, dominios, archivos y métodos de ejecución, lo que les permitió esquivar los controles tradicionales y permanecer internamente de las redes durante meses. De hecho, lo que se había reportado públicamente correspondía sólo a la escalón final de la campaña, lo que significa que muchas organizaciones pudieron sobrevenir revisado sus sistemas sin detectar infecciones previas que utilizaban indicadores completamente distintos.

Este tipo de compromiso es especialmente peligroso porque aprovecha la confianza en las actualizaciones de software. En empleo de que la víctima descargue un archivo sospechoso, el malware llega a través de un canal seguro, lo que facilita el llegada original y abre la puerta a espionaje, robo de información o movimientos laterales en dirección a sistemas críticos.

“Cuando un atacante compromete la modernización de una aparejo que una estructura usa a diario, aprovecha la confianza que esta tiene en su proveedor para infiltrarse sin difundir sospechas. La empresa acepta el archivo como seguro y descenso la gendarme. Eso convierte a la prisión de suministro en una de las rutas más efectivas para el espionaje y el robo de datos hoy en día. Por eso las organizaciones ya no pueden pender solo de listas de indicadores conocidos, necesitan visibilidad y detección continua internamente de sus redes”, señaló Leandro Cuozzo, analista de Seguridad en el Equipo Integral de Investigación y Examen para América Latina en Kaspersky.

Las soluciones de Kaspersky bloquearon todos los ataques identificados durante la investigación. El equipo publicó encima nuevos indicadores de compromiso y un disección técnico completo para ayudar a las organizaciones a revisar posibles exposiciones previas.

Para evitar que tu empresa sea víctima de este tipo de campañas, los expertos de Kaspersky recomiendan:

1. Acorazar la dirección de la prisión de suministro digital: validar proveedores, monitorear continuamente actualizaciones de software, perseverar inventarios claros de activos y segmentar redes para que una sola aparejo comprometida no dé llegada total a la infraestructura.

2. Adoptar detección basada en comportamiento, no solo en firmas conocidas: los atacantes cambian constantemente su infraestructura, por lo que es esencia contar con monitoreo continuo que identifique actividades anómalas, movimientos laterales o escalamiento de privilegios en tiempo positivo.

3. Apoyarse en plataformas integradas de protección y respuesta: soluciones del portafolio Kaspersky Next, como Kaspersky Next XDR Optimum, combinan prevención, detección y respuesta avanzadas para descubrir amenazas desconocidas internamente de la red y contener ataques sofisticados de prisión de suministro ayer de que escalen.