Acreed Infostealer desbanca a LummaC2 y domina el mercado ruso del robo de credenciales

Introducción

El ecosistema de malware orientado al robo de credenciales en mercados rusos ha experimentado un cambio significativo en los últimos meses. LummaC2, que hasta hace poco mantenía una posición dominante con casi el 92% de las alertas de logs de robo de credenciales, ha cedido su liderazgo ante la irrupción de un nuevo infostealer: Acreed. Este relevo en la prevalencia de amenazas supone implicaciones relevantes para los equipos de ciberseguridad, tanto en la detección como en la protección frente a ataques dirigidos a la exfiltración de credenciales.

Contexto del Incidente o Vulnerabilidad

El mercado clandestino ruso de malware ha sido tradicionalmente un terreno fértil para el desarrollo y distribución de infostealers, herramientas diseñadas para sustraer credenciales de acceso, cookies de sesión y otros datos sensibles de los sistemas comprometidos. Durante el último año, LummaC2 (también conocido como Lumma Stealer) acaparó la mayoría de las alertas y logs derivados de robos de credenciales, superando el 90% de cuota de mercado según las plataformas de monitorización de amenazas.

No obstante, a partir del primer trimestre de 2024, analistas han detectado un cambio de tendencia: Acreed ha desplazado a LummaC2 y ha asumido su posición como malware predominante en el panorama ruso, incrementando de forma exponencial el número de infecciones y logs relacionados con la exfiltración de credenciales.

Detalles Técnicos

Acreed, identificado como un infostealer modular y de rápida evolución, comparte varias características con otros troyanos de su categoría, pero introduce mejoras técnicas que han favorecido su adopción por parte de actores de amenazas.

– **Vectores de ataque**: Acreed se distribuye principalmente a través de campañas de phishing, descargas de software crackeado, y mediante la explotación de vulnerabilidades en navegadores y plugins poco actualizados. Además, se han observado campañas que emplean loaders como SmokeLoader y PrivateLoader para su despliegue inicial.
– **CVE y vulnerabilidades asociadas**: No se han vinculado CVEs específicos al despliegue de Acreed, aunque se aprovecha de sistemas con defensas insuficientes, configuraciones inseguras y falta de actualizaciones.
– **TTPs MITRE ATT&CK**: Acreed opera bajo técnicas como T1056 (Input Capture), T1555 (Credentials from Password Stores), T1114 (Email Collection) y T1005 (Data from Local System). Utiliza métodos de ofuscación avanzados para evadir la detección por EDR y antivirus tradicionales.
– **Indicadores de Compromiso (IoC)**: Hashes SHA-256 de muestras recientes, dominios C2 activos y patrones de tráfico cifrado HTTP/HTTPS a infraestructuras rusas y de Europa del Este.
– **Frameworks utilizados**: Aunque Acreed no se distribuye directamente a través de frameworks como Metasploit, se han observado campañas que lo integran en cadenas de ataque más complejas junto a Cobalt Strike y herramientas de post-explotación.
– **Exploits conocidos**: No se han publicado exploits públicos específicos para Acreed, pero su modularidad le permite integrarse fácilmente en kits de explotación orientados a la automatización del despliegue.

Impacto y Riesgos

El cambio de liderazgo entre infostealers implica un reajuste en los patrones de ataque y las técnicas de evasión. Acreed ha mostrado una mayor velocidad de adopción entre cibercriminales, lo que ha derivado en un aumento de logs de credenciales robadas en foros clandestinos y mercados de la dark web. Se estima que más del 85% de las nuevas alertas de robo de credenciales en entornos rusos corresponden actualmente a Acreed.

Organizaciones del sector financiero, e-commerce y administraciones públicas figuran entre los objetivos prioritarios, con riesgos asociados al acceso no autorizado, suplantación de identidad y potenciales incidentes de ransomware y fraude financiero. El impacto económico se incrementa ante la facilidad de reventa de credenciales válidas y el potencial incumplimiento de normativas como el GDPR o la directiva NIS2.

Medidas de Mitigación y Recomendaciones

Las prácticas recomendadas para mitigar el impacto de Acreed incluyen:

– Monitorización continua de endpoints y redes en busca de IoCs actualizados.
– Refuerzo de políticas de autenticación multifactor (MFA) y gestión de contraseñas.
– Segmentación de redes y aplicación de principios de privilegio mínimo.
– Actualización frecuente de navegadores y sistemas operativos.
– Despliegue de soluciones EDR/XDR con capacidades de análisis de comportamiento.
– Educación y concienciación del usuario ante campañas de phishing y software no legítimo.
– Integración de feeds de inteligencia de amenazas sobre Acreed en los SIEM corporativos.

Opinión de Expertos

Expertos del sector, como analistas del CERT-RU y firmas de threat intelligence, advierten que la rápida evolución de Acreed responde a una demanda constante de malware más flexible y evasivo. «Estamos viendo una profesionalización de los grupos que desarrollan infostealers, con ciclos de actualización semanales y soporte técnico en foros clandestinos», señala Alexei Ivanov, investigador de Group-IB.

Implicaciones para Empresas y Usuarios

El auge de Acreed implica la necesidad de revisar y actualizar los controles de seguridad, especialmente en organizaciones con operaciones internacionales o exposición a amenazas de origen ruso. Las empresas deben priorizar la protección de credenciales, el endurecimiento de sistemas y la detección temprana de movimientos laterales y exfiltración de datos.

Conclusiones

La transición de LummaC2 a Acreed como principal infostealer en el mercado ruso marca un nuevo episodio en la guerra asimétrica entre ciberdefensores y atacantes. Mantenerse actualizado con inteligencia de amenazas, fortalecer la higiene de credenciales y adoptar tecnologías de detección avanzada resultan hoy más imprescindibles que nunca para mitigar el impacto de estos desarrollos maliciosos.

(Fuente: www.darkreading.com)