La unidad de investigación de Silikn emitió una alerta por la presencia de Eternity, un grupo cibercriminal de origen ruso, que estaría vendiendo en Telegram, a través de un servicio de suscripción, un paquete que incluye diferentes tipos de malware, al cual le han llamado LilithBot.
De acuerdo con los análisis, Eternity ha estado activo desde noviembre de 2021 y ha creado un modelo de suscripción — como servicio — , a través del cual vende y distribuye en Telegram (y algunos foros clandestinos) diferentes módulos listos para ser utilizados y entre los cuales se pueden encontrar malware para robar información, ransomware, gusanos, troyanos, wipers, virus para minería de criptomonedas, cargas para ataques de denegación de servicio, keyloggers, entre otros.
La investigación detectó también que hay diferentes variantes del paquete LilithBot circulando en la Dark Web, por lo que se estima que se incrementarán los ataques con este tipo de malware.
El análisis señala que el malware desarrollado por Eternity se ha utilizado en alrededor del 37.2% de los ataques más recientes contra la infraestructura crítica y sistemas de gobierno de países latinoamericanos como Chile, Perú, México, República Dominicana y Costa Rica.
La peligrosidad de este grupo radica en que su modelo comercial ha sido muy exitoso, pues este paquete se puede pagar con cualquier tipo de criptomoneda y, además, a los que lo adquieren les permite lanzar diferentes tipos de ataques por separado o integrados, lo cual incrementa las posibilidades de un atacante de tener éxito.
De igual manera, la forma en la que está armado el paquete LilithBot, permite a los desarrolladores de malware poder modificar su contenido y personalizarlo para que pueda tener un mejor y mayor impacto en las organizaciones que vulneran. Un punto importante, es que el contenido del paquete LilithBot se actualiza regularmente sin cargo adicional, con la finalidad de poder evadir los sistemas de defensa más avanzados.