Las autoridades rusas detuvieron a tres personas en Moscú que se creen son los desarrolladores y operadores del malware Meduza Stealer . El malware era ofrecido bajo el modelo Malware-as-a-Service (MaaS) mediante suscripción, facilitando el robo de credenciales de navegadores, monederos de criptomonedas y otros datos de usuarios.
MaaS Desmantelado: El Arresto de Meduza Stealer
El arresto, anunciado por el Ministerio del Interior (MVD) de Rusia, es significativo porque indica un cambio de postura de las autoridades rusas al atacar una entidad gubernamental rusa en la región de Astracán.
Funcionamiento del Stealer
- Robo de Credenciales: Meduza Stealer se enfocaba en robar credenciales guardadas en navegadores populares (Chrome, Firefox), cookies de autenticación y, notablemente, tenía la capacidad de revivir cookies de Chrome caducadas para lograr la toma de control de cuentas y persistencia.
- Infraestructura complementaria: El grupo también habría desarrollado una botnet complementaria para desactivar protecciones de seguridad en máquinas objetivo.
- Modelo de Negocio: El modelo MaaS hizo que esta herramienta sofisticada fuera accesible a una base amplia de actores criminales, facilitando la proliferación de campañas de gran escala a nivel global.
Implicaciones del arresto
- Cambio de Postura Rusa: El hecho de que las autoridades rusas hayan accionado contra un grupo que atacó una entidad gubernamental rusa sugiere una ruptura de la tradicional “tolerancia” hacia los ciberdelincuentes que solo atacan objetivos extranjeros.
- Cadena de Clientes Expuesta: La detención puede desbloquear información sobre los clientes que pagaron y usaron el malware, así como los métodos de distribución y canales de pago (Telegram), lo que podría afectar legalmente a toda la cadena de usuarios del servicio malicioso.
- Sofisticación del Malware: La capacidad de “revivir cookies de Chrome caducadas” demuestra el esfuerzo en técnicas avanzadas de evasión y persistencia.
Recomendaciones
Reforzar la Autenticación y Rotación de Secretos
- MFA Obligatoria: Utilizar Autenticación Multifactor (MFA) en navegadores, servicios online y wallets de criptomonedas. Nunca dependa solo de cookies o sesiones guardadas.
- Rotación de Credenciales: Rotar todas las credenciales, tokens de autenticación y sesiones persistentes en cuentas sensibles que pudieron haber sido comprometidas por este tipo de malware.
Detección y Análisis Forense en Endpoints
- Hunting de Stealers : Realizar análisis forense en endpoints con sospecha para buscar artefactos relacionados con Stealers : módulos que reviven cookies, conexiones a C2 antes del arresto o registros de actividad inusual.
- Antimalware actualizado: Utilizar herramientas de detección que supervisan activamente las carpetas de cookies, claves de navegador y sesiones no autorizadas.
- Auditoría Interna: Si se descubre que un servicio malicioso MaaS fue utilizado por un tercero o empleado dentro de la organización, considerelo un incidente de seguridad grave de cadena de suministro interna.
Concientización
- Evitar Underground : Educar al personal sobre el riesgo de herramientas “pirateadas” o suscripciones ofrecidas en foros underground (MaaS), ya que la participación en el ciberdelito, incluso como usuario, conlleva un riesgo legal.
- Revisión periódica: Los usuarios deben revisar periódicamente las configuraciones de seguridad de sus navegadores y los registros de acceso de sus servicios críticos.
