(https://i.postimg.cc/FzdkyvDL/Pc-Security.gif) (https://postimages.org/)
Con el creciente número de aplicaciones que se ejecutan en navegadores, un informe advierte que pronto podríamos presenciar una campaña de ransomware a gran escala sin que los hackers siquiera toquen un dispositivo.
Los ataques de ransomware se han convertido en una de las amenazas de ciberseguridad más prevalentes. Según la empresa de ciberseguridad Cyentia, han generado pérdidas por 276 000 millones de dólares en los últimos cinco años, una cifra similar al producto interior bruto de Argentina en 2024.
Históricamente, los ataques de ransomware se dirigían a los dispositivos, ya que la mayor parte de la información se encontraba en las aplicaciones o en el propio dispositivo.
Sin embargo, la adopción del almacenamiento en la nube y las soluciones de software como servicio (SaaS) ha llevado a que la mayor parte del flujo de trabajo y los datos empresariales se creen, almacenen y compartan en el navegador. Los actores de amenazas se han adaptado rápidamente, y el malware nativo del navegador se ha convertido en un riesgo nuevo y peligroso.
Según un informe de la empresa de ciberseguridad SquareX, existe una relación riesgo-recompensa asimétrica para los atacantes que atacan el navegador.
Impacto del "ransomware nativo del navegador" (browser-native ransomware)
En comparación con el ransomware tradicional, el ransomware nativo del navegador es difícil de detectar y tiene consecuencias más graves.
"El ransomware nativo del navegador puede atacar a la identidad de la víctima en cualquier aplicación SaaS, incluyendo cuentas personales o aplicaciones SaaS ocultas que no estén gestionadas por el equipo de seguridad", afirma SquareX.
También señala que las herramientas de protección existentes funcionan inspeccionando archivos y procesos maliciosos en el dispositivo, mientras que el ransomware nativo del navegador opera en el navegador sin necesidad de descargar archivos y, por lo tanto, nunca activará la inspección de las herramientas de detección.
Según la compañía, desde las extensiones polimórficas hasta la reciente brecha de seguridad de Cyberhaven, que potencialmente afectó a dos millones de clientes, ha habido numerosos ejemplos de hackers que están cambiando su enfoque hacia ataques nativos del navegador.
"Esto también sirve como evidencia temprana de que los atacantes están comenzando a descubrir los 'ingredientes' necesarios para el ransomware nativo del navegador y que es solo cuestión de tiempo antes de que un adversario inteligente una estas piezas para llevar a cabo la primera campaña de ransomware a gran escala sin siquiera tocar el dispositivo", se lee en el informe.
Tres escenarios de "secuestro de navegador" (browser hijacking)
En su informe, SquareX analiza tres escenarios hipotéticos sobre cómo podría desarrollarse un ataque de este tipo. En realidad, el ataque puede ocurrir de diversas formas, pero generalmente implica los tres pasos.
En un ejemplo, un atacante obtiene acceso al Google Drive de la víctima imitando una aplicación legítima.
El atacante extrae y elimina todos los archivos almacenados en el Google Drive de la víctima, incluidas las unidades compartidas, y exige un rescate para evitar que filtren archivos confidenciales de la empresa.
De igual manera, el ransomware nativo del navegador podría utilizarse para comprometer los servicios de correo electrónico.
"Mediante el phishing de consentimiento, el atacante puede usar una aplicación maliciosa para leer los correos electrónicos de la víctima y averiguar a qué servicios SaaS está suscrito. Mediante un agente de IA, el atacante restablece sistemáticamente las contraseñas de estas aplicaciones, cierra la sesión de la víctima y extrae todos los datos almacenados en las aplicaciones SaaS empresariales para pedir un rescate", afirma SquareX.
En un tercer ejemplo, un hacker podría usar la sincronización del navegador, donde una extensión maliciosa puede convertir el navegador de la víctima en un perfil administrado, permitiéndole al atacante controlarlo.
SquareX afirma que, mediante la función de sincronización de Google Workspace, todas las contraseñas almacenadas localmente se subirían al perfil administrado por el atacante, lo que podría utilizarse para obtener acceso no autorizado y extraer datos de aplicaciones SaaS.
Fuente:
CyberNews
https://cybernews.com/security/browser-native-ransomware-cyber-attack/