Expertos en ciberseguridad detectaron una avanzada campaña de ransomware que está afectando a empresas en América Latina, principalmente en Venezuela. De acuerdo con los datos de telemetría de WatchGuard, los atacantes están utilizando correos electrónicos fraudulentos para engañar a los empleados, enviando supuestas facturas o presupuestos que, en realidad, esconden un código malicioso capaz de tomar el control de la computadora.
Lo más llamativo de este ataque es el uso de archivos SVG, un formato de imagen común utilizado para logotipos e ilustraciones web. A diferencia de una foto normal, estos archivos contienen código interno que, al ser abierto, puede dar instrucciones a la computadora para conectarse a sitios peligrosos y descargar el virus definitivo.
Esta táctica no es nueva en la región; el año pasado se registró una maniobra similar en Colombia, donde los criminales suplantaban portales del sistema judicial para infectar a sus víctimas.
Un virus "silencioso" que sabe cuándo atacar
El funcionamiento de este software malicioso, vinculado al grupo cibercriminal BianLian, destaca por su capacidad de pasar desapercibido ante los antivirus tradicionales. Para lograrlo, los atacantes utilizan "acortadores" de enlaces y sitios web vulnerables en Brasil para disfrazar la descarga del virus. Una vez que el archivo ingresa al sistema, el programa (escrito en un lenguaje de programación moderno llamado Go) comienza a cargar sus componentes de forma dinámica, es decir, solo cuando los necesita, para no levantar sospechas.
El virus cuenta con funciones diseñadas específicamente para la supervivencia dentro de la PC:
- Desactiva alertas: El malware bloquea los cuadros de diálogo de error de Windows para que el usuario no note que algo extraño está ocurriendo.
- Vigila el descanso de la PC: Es capaz de detectar cuando la computadora entra en modo de suspensión o se reactiva. Esto le permite actuar en momentos donde las soluciones de seguridad podrían estar menos activas.
- Técnicas de camuflaje: El código incluye herramientas para detectar si está siendo analizado por expertos en seguridad y utiliza métodos para dificultar su estudio.
Quiénes están detrás y cómo protegerse
El grupo responsable, BianLian, es una organización de cibercriminales activa desde 2022 que se dedica a la extorsión de datos a nivel global. Aunque inicialmente atacaron infraestructuras críticas en países como Estados Unidos y Australia, han evolucionado sus tácticas para dirigirse a múltiples industrias. Una de sus "firmas" es el uso de un sistema de cifrado extremadamente rápido, que les permite bloquear los archivos de la víctima en cuestión de segundos.
Para evitar caer en estas trampas, los especialistas recomiendan tratar con extrema precaución cualquier archivo adjunto inesperado, incluso si parece ser una simple imagen. Además, se han identificado varios dominios de internet que las empresas deben bloquear en sus redes para prevenir la infección:
- contabilidad.icu
- documentodigital.cloud
- getpdfdigital.cloud
- soportedigital.cloud
La clave para detener estos ataques es la prevención temprana. Comprender que un archivo de apariencia inofensiva puede ser la puerta de entrada para un grupo de extorsionadores es el primer paso para mantener a salvo la información de cualquier organización.