CIBERDELINCUENTES USAN MALWARE NLBRUTE PARA OBTENER CREDENCIALES

24/02/2023

BOLETÍN NRO 2023-124

Investigadores de seguridad han atribuido el desarrollo de este malware al usuario dpxaler, además de indicar que este malware funciona como un descifrador de contraseñas y es ofrecido en foros de la dark web.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

NLBrute permite obtener credenciales de Windows mediante fuerza bruta a través del protocolo de escritorio remoto (RDP). NLBrute hace uso de una lista de palabras o una lista de contraseñas de volcados de credenciales anteriores, también conocida como "relleno de credenciales".

Se sospecha que NLBrute fue utilizado para obtener las credenciales de inicio de sesión de decenas de miles de ordenadores ubicados en todo el mundo y la información sensible obtenida era ofrecida a otros grupos de ciberdelincuentes a través de foros y páginas en la dark web.

Los grupos que obtenían esta información lo utilizaban en diversas campañas maliciosas, desde fraudes fiscales hasta ataques de ransomware.

Según un informe, entre las decenas de miles de credenciales robadas que puso a la venta, el ciberdelincuente habría vendido la información de inicios de sesión a un bufete de abogados en el Distrito Medio de Florida.

NLBrute también fue empleado por atacantes vinculados a múltiples operaciones de Ransomware-as-a-Service (RaaS), incluidas REvil, Dharma y Netwalker, para introducirse por fuerza bruta en los servidores Remote Desktop Protocol (RDP) de las víctimas para comprometer sus redes.

Indicadores de Compromiso

Hash

MD5: 025c1c35c3198e6e3497d5dbf97ae81f

SHA-256: ffa28db79daca3b93a283ce2a6ff24791956a768cb5fc791c075b638416b51f4

MD5: 9bc64eab4eeccd8dfa3929c78b8d7eb7

SHA-256: 7939b086a5b1ca8f3b95bba723c85047022955bb0f40cfca42585dd2dfe5bd53

MD5: 499ddec2bdf62690b62cf3cff8c83ff9

SHA-256: 67da64247139f62a748ea87b67623647f436ec1c235757473fb43561ce526656

MD5: 49dc059c0afd8392ed80077d194f59ca

SHA-256: afa021fea6714b43633fe55b6d763cae9c14bb5f2ae43d82758248f25abf6a18

MD5: 3f6067cfd53661ea528c8fd637c3d631

SHA-256: ac2cce1ec8f669db318e553d342a2e71a1f64448cb6e3c464e2d663a62defc01

MD5: 6d375cc7c32af43f612486366416f4a1

SHA-256: 1308c73661a87e75fdbbdab8c4d28302dcd3f77fb6acb49ddfdfc91f9f92fc9c

MD5: c64ddee39368701fbe9f0a904c6984fd

SHA-256: ad96acd443b4ba63ae050b5a35baade1ab77dfc118720e05d7b42bd75fea747a

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Russian malware dev behind NLBrute hacking tool extradited to US
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​