### “BlackSanta”: Nuevo malware dirigido a departamentos de RRHH evade soluciones EDR
#### 1. Introducción
En el último año, se ha identificado una campaña de ciberataques dirigida específicamente a departamentos de Recursos Humanos (RRHH) de organizaciones internacionales. El actor de amenazas, de origen ruso y con un perfil avanzado, ha desplegado un nuevo malware especializado en neutralizar soluciones EDR (Endpoint Detection and Response), bautizado como “BlackSanta”. Este desarrollo supone un salto cualitativo en la sofisticación de las amenazas dirigidas, especialmente en el contexto de la protección endpoint y la seguridad corporativa.
#### 2. Contexto del Incidente
La campaña, activa al menos desde principios de 2023, ha tenido como objetivo prioritario a empresas de múltiples sectores, principalmente en Europa y América del Norte. El vector de entrada se ha centrado en la ingeniería social, con envíos dirigidos de correos electrónicos maliciosos a equipos de RRHH, aprovechando su exposición habitual a archivos adjuntos y enlaces externos en procesos de selección de personal. El actor detrás de BlackSanta demuestra un conocimiento profundo del funcionamiento operativo de estos departamentos, personalizando los mensajes y utilizando supuestos currículos o documentos de candidatos como señuelo.
#### 3. Detalles Técnicos
BlackSanta se distribuye principalmente mediante archivos adjuntos en formato comprimido (ZIP o RAR), que contienen ejecutables disfrazados de documentos ofimáticos. El análisis forense ha identificado que, tras la ejecución, el malware descarga y ejecuta cargas adicionales desde servidores C2 controlados por los atacantes.
El componente más innovador de BlackSanta es su módulo EDR killer, diseñado para detectar y desactivar procesos y servicios asociados a soluciones EDR líderes del mercado, como Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne y Sophos Intercept X. El módulo utiliza técnicas avanzadas de evasión, incluyendo:
– Enumeración de procesos y servicios relacionados con EDR mediante llamadas a la API de Windows.
– Uso de técnicas de inyección en memoria para evitar ser detectado por soluciones basadas en firmas.
– Terminación de procesos críticos mediante privilegios elevados, aprovechando vulnerabilidades de escalada local (por ejemplo, CVE-2022-24521).
– Modificación de claves de registro y políticas de grupo para impedir la reinstalación automática de los servicios EDR.
El malware muestra similitudes en TTPs con el marco MITRE ATT&CK, especialmente en las técnicas T1562 (Impair Defenses), T1059 (Command and Scripting Interpreter) y T1105 (Ingress Tool Transfer). Además, se han observado indicadores de compromiso (IoC) como hashes de archivos, direcciones IP de servidores C2, y patrones de tráfico inusual en la red corporativa.
#### 4. Impacto y Riesgos
Se estima que más de un centenar de organizaciones han sido objetivo de esta campaña, con una tasa de éxito superior al 20% en la etapa inicial de infección. El despliegue de BlackSanta no solo implica la desactivación de EDR, sino que abre la puerta a ataques secundarios como el despliegue de ransomware, robo de credenciales o movimientos laterales sin ser detectados.
El riesgo se ve incrementado por la capacidad del malware para persistir en el sistema tras reinicios y por la dificultad de su detección una vez neutralizadas las defensas endpoint. Esto puede suponer un incumplimiento grave de normativas como el GDPR o la directiva NIS2, con potenciales sanciones económicas y daños reputacionales.
#### 5. Medidas de Mitigación y Recomendaciones
Los expertos recomiendan un enfoque multicapa que combine tecnologías y buenas prácticas:
– Actualización inmediata de sistemas operativos y soluciones EDR, priorizando parches para vulnerabilidades conocidas como CVE-2022-24521.
– Refuerzo de las políticas de control de acceso y privilegios mínimos para procesos críticos.
– Segmentación de red y monitorización de tráfico saliente inusual hacia IPs y dominios no autorizados.
– Formación continua a empleados, especialmente a RRHH, en detección de intentos de phishing y manipulación social.
– Implementación de herramientas de detección y respuesta avanzadas (XDR) y revisión periódica de los logs de seguridad.
– Establecimiento de procedimientos de respuesta y notificación ante incidentes conforme a los requisitos de GDPR y NIS2.
#### 6. Opinión de Expertos
Especialistas de firmas como Mandiant y Kaspersky han señalado que BlackSanta representa una evolución preocupante dentro de la gama de malware dirigido a bypass de EDR. “Su capacidad para adaptarse a múltiples soluciones y su enfoque en departamentos con alta tasa de interacción externa lo convierten en una amenaza persistente y difícil de erradicar”, afirma un analista sénior de ciberinteligencia. Otros expertos advierten sobre la posible comercialización de este módulo en foros clandestinos, lo que podría amplificar su alcance.
#### 7. Implicaciones para Empresas y Usuarios
Para las empresas, el incidente subraya la necesidad de una defensa activa y dinámica, así como la revisión de sus protocolos de onboarding digital. Los departamentos de RRHH, tradicionalmente menos priorizados en políticas de seguridad, deben ser considerados activos críticos. A nivel de usuario, la concienciación y el escepticismo ante archivos inesperados se convierten en la primera línea de defensa.
#### 8. Conclusiones
La aparición de BlackSanta marca una nueva tendencia en la sofisticación del malware dirigido a la evasión de soluciones EDR, con un enfoque estratégico en áreas de negocio vulnerables. El refuerzo de las capacidades de detección, la actualización constante de los sistemas y la formación de los empleados se perfilan como elementos imprescindibles para mitigar el impacto de este tipo de amenazas en el panorama actual de ciberseguridad corporativa.
(Fuente: www.bleepingcomputer.com)