OfflRouter Malware Ucrania: Brecha en la red gubernamental desde 2015
Según informes recientes de los medios de comunicaciónalgunas redes gubernamentales de Ucrania llevan infectadas con el malware Offlrouter desde 2015. El malware Offlrouter Ucrania ha logrado escapar a la detección durante casi una década. Sin embargo, el malware de macro VBA ha entrado recientemente en el radar de Cisco Talos.
En el artículo, nos sumergiremos en los detalles del malware Offlrouter Ucrania y lo que implica esta amenaza para las prácticas de ciberseguridad.
Offlrouter Malware Ucrania: Descubrimiento inicial
Basándose en el informe de análisisCisco Talos ha declarado que su análisis se realizó sobre la base de 100 documentos confidenciales que estaban infectados con el malware de macro VBA. El informe declaró además que el malware fue subido a la plataforma de escaneo de malware VirusTotal en 2018.
Además, desde 2022 se han cargado otros 20 documentos de naturaleza similar. Proporcionando más información sobre el malware Offlrouter Ucrania un extracto del malware dice:
"Los documentos subidos estaban infectados con un virus de macro VBA multicomponente OfflRouter, creado en 2015. El virus sigue activo en Ucrania y provoca la subida de documentos potencialmente confidenciales a repositorios de documentos de acceso público."
Mecanismo de infección del malware OfflRouter
En lo que respecta a la propagación del malware, cabe destacar que el malware Offlrouter no puede distribuirse por correo electrónico. Por lo tanto, para su distribución es necesario utilizar dispositivos físicos de transferencia e intercambio de datos, como USBs que contengan los documentos infectados.
Los investigadores afirman que esta es la razón por la que el malware fue capaz de evadir la detección durante casi una década. En cuanto al proceso de infección, el malware de macro VBAintegrado en un archivo de Word, suelta un ejecutable .NET llamado "ctrlpanel.exe".
Una vez activado el ejecutable malicioso, infecta todos los archivos del sistema del usuario que tengan la extensión .DOC o .DOCX. La infección también continúa propagándose en los archivos con las mismas extensiones que se almacenan en un dispositivo extraíble conectado al sistema.
Lo que convierte al malware Offlrouter en una grave amenaza es que tiene la capacidad de modificar el Registro de Windows. Esto asegura que el malware ejecuta automáticamente sus funcionalidades maliciosas cada vez que se inicia el sistema.
Investigadores de ciberseguridad han arrojado luz sobre su mecanismo de distribución:
"Sólo podemos especular sobre por qué no hay propagación automatizada por correo electrónico. Dicho esto, si el malware se adjuntara a un documento enviado por correo electrónico, el virus seguiría intentando infectar archivos ubicados en soportes extraíbles."
Preocupaciones e implicaciones en materia de ciberseguridad
La prevalencia de malware con tal capacidad de evasión de la detección en las redes gubernamentales plantea graves problemas de ciberseguridad. Una de las principales preocupaciones de los investigadores se refiere a la capacidad del malware para ejecutar plugins. Para ello, el malware utiliza el .ORP en dispositivos extraíbles.
Estas capacidades, una vez iniciadas, hacen que el malware sea aún más dañino, ya que puede utilizarse para la exfiltración de datos. Estas amenazas son un claro recordatorio de por qué prácticas de ciberseguridad deben ser primordiales.
Conclusión
Recientes informes de los medios de comunicación han sacado a la luz el OfflRouter Malware Ucrania. Se trata de una grave ciberamenaza que ha prevalecido y evadido la detección en las redes gubernamentales de Ucrania. El malware de macro VBA se distribuye utilizando documentos de Word, puede modificar el Registro de Windows y puede utilizarse para la exfiltración de datos.
Ante esto, se puede afirmar que tanto las empresas como las organizaciones gubernamentales deben adoptar medidas proactivas de ciberseguridad para reducir su exposición al riesgo y ser más resistentes.
Las fuentes de esta pieza incluyen artículos en The Hacker News y Cisco Talos.