Barracuda full logo

Un conocido troyano aprende un nuevo truco: robar datos de Active Directory

Temas:
8 abr 2025
|
Tony Burgess

El troyano TrickBot lleva ya un tiempo activo, identificado por primera vez en 2016. Una vez dentro de un sistema objetivo, utiliza una variedad de módulos que puede descargar para obtener capacidades específicas. Un investigador de seguridad descubrió recientemente que un nuevo módulo de TrickBot, llamado «ADll», permite al troyano encontrar, acceder y exfiltrar las bases de datos de Active Directory almacenadas en los controladores de dominio de Windows. 

Esto añade una capacidad perniciosa, con riesgos elevados, a una amenaza cibernética que ya es altamente capaz.

Malware con múltiples capacidades

TrickBot (también conocido como TrickLoader, Trickster) es el resultado de más de una década de evolución de amenazas. Originalmente fue diseñado para robar datos de banca en línea, con una lista en constante cambio de sitios web de banca en línea para el ataque. Pero a medida que ha evolucionado, su naturaleza modular le ha proporcionado una lista creciente de capacidades y se está utilizando para atacar a víctimas en múltiples industrias. Se utiliza frecuentemente para infiltrarse en el ransomware Ryuk, pero eso está lejos de ser todo lo que puede hacer.

Como lo expresa un informe técnico exhaustivo de la Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA): 

«Los operadores de TrickBot disponen de un conjunto de herramientas capaz de abarcar la totalidad del marco <a href=\"\" target=\"\" rel=\"\">MITRE ATT&CK , desde la recopilación activa o pasiva de información que puede utilizarse para apoyar la selección de objetivos (Reconocimiento [<a href=\"\" target=\"\" rel=\"\">TA0043]), hasta el intento de manipular, interrumpir o destruir sistemas y datos (Impacto [<a href=\"\" target=\"\" rel=\"\">TA0040]).»

Solo algunas de sus muchas capacidades:

  • Robo de datos de correo electrónico y del navegador

  • Robo de criptomonedas dirigido a coinbase.com 

  • Exploit de EternalBlue para movimiento lateral

  • Configuración en tiempo real a través del servidor de Comando y Control (C2) 

  • Desactivación de controles de seguridad

  • Cifrado de datos (malware Ryuk) 

Mitigación del riesgo de datos de Active Directory

Existen múltiples riesgos específicos que se derivan del uso del módulo ADll para identificar, exfiltrar y/o destruir datos de Active Directory. 

En primer lugar, les da a los atacantes la capacidad de utilizar credenciales robadas para expandir mucho más rápidamente el acceso y descubrir objetivos dentro de su red. Esto significa que tiene mucho menos tiempo para detectar y bloquear esa actividad antes de que se detone una carga útil como el ransomware.

Además, permite la suplantación (de identidad), el compromiso del correo electrónico empresarial, el secuestro de conversaciones y otros tipos de ataques que pueden llevar a fraudes costosos y pérdida de datos. 

En caso de que los datos de Active Directory sean destruidos (y posiblemente también robados), la interrupción de la capacidad operativa de su organización sería grave y costosa, y probablemente tomaría días o semanas resolverla por completo.

Finalmente, se suma al ya creciente mercado clandestino de credenciales de red robadas y otros datos identificativos. Como he mencionado antes en este espacio, a veces llamamos a esta la era «post-breach» debido a la increíblemente vasta cantidad de registros de datos robados (incluidos los «fullz») que ya están disponibles para el mejor postor. 

La mejor manera de mitigar estos riesgos es con una solución de seguridad multicapa e integral que combine:

  • Arquitectura Zero Trust para reducir el riesgo de acceso no autorizado a la red mediante credenciales robadas. Esto es significativamente más eficaz que la autenticación multifactor (MFA).

  • Monitoreo avanzado de datos y tráfico de comunicaciones intra-red, aprovechando el poder del aprendizaje automático y la inteligencia artificial para detectar anomalías y amenazas potenciales.  

  • Copia de seguridad moderna basada en la nube que protege los datos de Active Directory y permite una recuperación y restauración de datos rápida y fiable.

Consulte Barracuda Email Protection y descubra cómo obtener estas y otras capacidades en una plataforma única, integrada y fácil de usar.

 

Descubra la protección de correo electrónico de Barracuda

 

 

Tony Burgess

Tony Burgess es un veterano de veinte años en la industria de la seguridad informática y es el redactor senior de Barracuda para contenido y marketing al cliente. En este puesto, investiga temas técnicos complejos y traduce sus hallazgos en prosa clara, útil y legible por humanos.

Puedes conectar con Tony en LinkedIn aquí.

Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.