AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Rhadamanthys amplía su arsenal: nuevas capacidades de fingerprinting y servicios asociados elevan el riesgo para empresas

admin

Introducción

El panorama de amenazas sigue evolucionando a un ritmo vertiginoso, y los actores detrás del infostealer Rhadamanthys no se quedan atrás. En los últimos meses, este malware ha experimentado significativas actualizaciones técnicas y una diversificación de servicios ofrecidos, consolidándose como una de las amenazas emergentes más versátiles y peligrosas para organizaciones de todos los tamaños. Además de la expansión de funcionalidades del propio stealer, se ha observado la publicidad de dos herramientas adicionales: Elysium Proxy Bot y Crypt Service, todo ello desde la misma infraestructura operada por el threat actor. Este artículo analiza en profundidad los aspectos técnicos y operativos de este ecosistema malicioso, su impacto y las estrategias recomendadas para mitigar el riesgo.

Contexto del Incidente o Vulnerabilidad

Rhadamanthys fue identificado inicialmente en foros clandestinos de ciberdelincuencia a finales de 2022, promocionado como un infostealer “premium” con capacidad para evadir soluciones antimalware comunes. Desde entonces, la amenaza ha evolucionado rápidamente, incorporando nuevas funcionalidades y una distribución cada vez más profesionalizada y segmentada. En paralelo, el actor ha consolidado su presencia con el lanzamiento de Elysium Proxy Bot, un sistema de infraestructura como servicio (IaaS) orientado a anonimizar actividades maliciosas, y Crypt Service, una solución de ofuscación y evasión de detección para payloads maliciosos.

Detalles Técnicos

Rhadamanthys opera principalmente bajo el modelo MaaS (Malware-as-a-Service) y se distribuye a través de campañas de phishing, spam y descargas drive-by. Sus versiones más recientes (identificadas a partir de la build 2.1.4, Q1 2024) presentan las siguientes capacidades:

– Recopilación de credenciales almacenadas en navegadores (Chrome, Edge, Firefox, Opera) y clientes FTP, VPN y correo electrónico.
– Exfiltración de carteras de criptomonedas y archivos de configuración.
– Fingerprinting avanzado de dispositivos y navegadores web: recopilación de user agent, canvas fingerprint, WebGL, resolución de pantalla, plugins y listas de extensiones instaladas.
– Persistencia mediante la creación de claves de registro y tareas programadas en sistemas Windows.
– Comunicación cifrada con C2 mediante protocolos HTTP/HTTPS personalizados y fallback a TOR en caso de bloqueo.

El vector de ataque principal sigue siendo el spear phishing, aunque se ha detectado su uso combinado con campañas de SEO poisoning y malvertising. El uso de frameworks como Metasploit y Cobalt Strike se ha observado en fases posteriores para movimientos laterales y persistencia avanzada, si bien Rhadamanthys opera de forma autónoma en la fase inicial de infección.

Elysium Proxy Bot actúa como una red de proxies rotativos basada en dispositivos infectados, permitiendo el anonimato en ataques automatizados (credential stuffing, scraping, phishing), mientras que Crypt Service ofrece ofuscación polimórfica para payloads, dificultando su detección por firmas tradicionales.

Según el framework MITRE ATT&CK, las TTPs observadas incluyen:
– T1059 (Execution)
– T1083 (File and Directory Discovery)
– T1113 (Screen Capture)
– T1555 (Credentials from Password Stores)
– T1071 (Application Layer Protocol)

Los indicadores de compromiso (IoC) relacionados incluyen hashes MD5/SHA256 de las últimas muestras, direcciones IP asociadas a C2, y dominios de las infraestructuras Elysium Proxy y Crypt Service.

Impacto y Riesgos

Las últimas campañas se han dirigido tanto a empresas como a usuarios finales, con una tasa de infección estimada en un 7% de los sistemas Windows analizados en honeypots internacionales durante el primer semestre de 2024. En grandes empresas, la exposición a Rhadamanthys ha supuesto compromisos de credenciales corporativas, filtración de datos sensibles y uso fraudulento de recursos IT mediante Elysium Proxy Bot.

El impacto económico potencial, según estimaciones de varias firmas de ciberinteligencia, podría superar los 50 millones de euros en pérdidas directas e indirectas relacionadas con robo de credenciales, fraudes y recuperación de sistemas. Además, la filtración de datos personales o información protegida por el RGPD expone a las organizaciones a sanciones regulatorias significativas.

Medidas de Mitigación y Recomendaciones

Para reducir la superficie de ataque y mitigar el impacto de Rhadamanthys y sus herramientas asociadas, se recomienda:

– Actualización inmediata de endpoints y navegadores a las últimas versiones disponibles.
– Implementación de soluciones EDR y monitorización de logs de acceso a navegadores y sistemas.
– Revisión periódica de tareas programadas y claves de registro sospechosas.
– Segmentación de red y políticas de mínimo privilegio en el acceso a recursos críticos.
– Formación continuada de usuarios sobre riesgos de phishing y malas prácticas de descarga.
– Integración de listas negras IP/DNS basadas en los IoC detectados.
– Soporte de doble factor de autenticación (2FA) en servicios corporativos críticos.

Opinión de Expertos

Expertos del sector, como los analistas de Kaspersky y la firma española S21sec, alertan sobre la profesionalización creciente de la oferta de malware como servicio. “Rhadamanthys no es solo un stealer, sino una plataforma de servicios criminales que puede adaptarse a múltiples escenarios de ataque”, señala Javier Pérez, especialista en amenazas avanzadas. El uso combinado de herramientas como Elysium Proxy Bot y Crypt Service amplifica el alcance y la dificultad de rastreo de las campañas.

Implicaciones para Empresas y Usuarios

La madurez operativa del actor tras Rhadamanthys obliga a las empresas a reforzar sus capacidades de detección y respuesta ante incidentes. No solo se trata de evitar la filtración de credenciales, sino también de prevenir el uso fraudulento de la infraestructura IT, la afectación reputacional y el incumplimiento normativo (GDPR, NIS2). Los usuarios particulares, especialmente aquellos que gestionan activos digitales o criptomonedas, se convierten igualmente en objetivo prioritario.

Conclusiones

La evolución de Rhadamanthys y la diversificación de su oferta criminal suponen un desafío creciente para los equipos de ciberseguridad. La combinación de capacidades avanzadas de fingerprinting, evasión y servicios asociados multiplica el riesgo e incrementa la complejidad de las campañas maliciosas. La vigilancia activa, la actualización constante de los sistemas y la concienciación de usuarios son hoy más cruciales que nunca para neutralizar este tipo de amenazas.

(Fuente: feeds.feedburner.com)