• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / La siguiente generación de ransomware es aún más sofisticada

La siguiente generación de ransomware es aún más sofisticada

9 marzo, 2020 Por Jesús Álvarez Deja un comentario

Ryuk, DoppelPaymer, Dharma y otros tipos de ransomware «operados por humanos» aparecen cada vez más y de forma más sofisticada, advierte Microsoft.

Según los investigadores los rescates «auto-distribuidos» – como WannaCry y NotPetya – llegan a los titulares debido a los tiempos de bloqueo que estos ataques causan. Sin embargo, los rescates «operados por humanos» – como REvil, Bitpaymer y Ryuk – están adoptando nuevas técnicas que les permiten operar sin restricciones en las redes.

Por ejemplo, estos ransomware «operados por humanos» se centran en cuentas comprometidas con altos privilegios. Están exhibiendo un amplio conocimiento de la administración de sistemas y de las malas configuraciones de seguridad de las redes comunes. Los investigadores dicen que también son capaces de adaptarse una vez que han infectado inicialmente un sistema y establecer un punto de apoyo en las máquinas. Esto permite a estos atacantes de la próxima generación de ransomware seguir infiltrándose en los entornos objetivo, dijeron los investigadores del Equipo de Inteligencia de Protección de Amenazas de Microsoft.

Los atacantes se infiltran en un sistema y proceden a desplegar los programas de ransonware, el robo de credenciales y otros ataques, todo ello en menos de una hora, lo que disminuye las posibilidades de que las víctimas afectadas intervengan.

Los investigadores siguieron la pista de un grupo popular que utilizaba este método, al que llamaron Parinacota (que despliega el ransonware también conocido como Dharma) durante 18 meses. Con el tiempo, el grupo ha ido creciendo hasta llegar a atacar a tres o cuatro organizaciones semanalmente; así como ha evolucionado sus tácticas y objetivos para «utilizar las máquinas comprometidas para varios propósitos, incluyendo la minería de criptografía, el envío de correos electrónicos de spam o como proxy para otros ataques».

Parinacota emplea el método de «Smash-and-Grab». Primero se abren paso a fuerza bruta en servidores vulnerables con Protocolo de Escritorio Remoto (RDP) expuestos a Internet y luego rápidamente buscan otros sistemas vulnerables dentro de la red. Luego realizan más ataques de fuerza bruta RDP contra nuevos objetivos dentro de la red, permitiéndoles moverse lateralmente. Posteriormente, realizan el robo de credenciales, despliegan malware criptográfico y entregan la carga final con el ransomware.

Los operadores de Parinacota también muestran un profundo conocimiento de sus objetivos, cambiando a menudo el pago del rescate que piden (que puede variar entre 0,5 y 2 Bitcoin) en función de la probabilidad de lo que la víctima pagaría por el impacto en su empresa o la importancia percibida del objetivo.

«Otras familias de malware como GandCrab, MegaCortext, LockerGoga, Hermes y RobbinHood también han utilizado este método en ataques dirigidos con rescate», dijeron los investigadores. «Parinacota, sin embargo, también se ha observado que se adapta a cualquier camino de menor resistencia que puedan utilizar. Por ejemplo, a veces descubren sistemas sin parches y utilizan las vulnerabilidades reveladas para obtener el acceso inicial o elevar los privilegios».

Otra característica de este tipo de campañas operadas por humanos es que a menudo comienzan con malware básico, como los troyanos bancarios. Estos vectores de ataque se consideran «poco sofisticados» y tienden a ser considerados como poco importantes y, por lo tanto, no se investigan y remedian a fondo, según los investigadores, lo que permite a los operadores de ransomware eludir a los defensores.

Esta técnica ha demostrado ser exitosa para Ryuk, visto en un ataque este pasado fin de semana que golpeó a Epiq Global, lo que causó que la compañía de servicios legales retirara sus sistemas de la red a nivel mundial, según un informe de esta semana del sitio de noticias LawSites. Los medios de comunicación informaron que el ataque comenzó con el malware TrickBot infectando un ordenador en el sistema de Epiq en diciembre. Después de que TrickBot fuera instalado, informó de que había abierto una shell inversa a los operadores de Ryuk, permitiéndoles acceder a los dispositivos de la red y encriptar los archivos de las computadoras infectadas.

«De hecho, los investigadores han encontrado artefactos que indican que las redes afectadas han sido comprometidas por varios atacantes durante varios meses antes de que se lleve a cabo el bloqueo, lo que demuestra que estos ataques (y otros) tienen éxito y no se resuelven en las redes en las que no se aplica la diligencia en los controles de seguridad y la supervisión», dijeron los investigadores.

Para prevenir este tipo de ataques de rescate se requiere un cambio de mentalidad. Los equipos de defensa deben centrarse en «la protección integral necesaria para frenar y detener a los atacantes antes de que puedan tener éxito», dijeron.

«Los ataques operados por humanos continuarán aprovechando las debilidades de seguridad para desplegar ataques destructivos hasta que los defensores apliquen de manera consistente mejores prácticas de seguridad en sus redes», dijeron.

Para mantenerse al día, los equipos de defensa necesitan integrar mejor a los profesionales de IT en los equipos de seguridad, ya que los atacantes se aprovechan de las configuraciones que muchos administradores de IT gestionan y controlan. Los equipos de seguridad también deben abordar la vulnerabilidad de la infraestructura que inicialmente permitió la entrada de los atacantes, porque estos grupos suelen atacar a los mismos objetivos varias veces. Asimismo, los equipos de seguridad deben comprender que las alertas de malware aparentemente poco frecuentes, básicas o aisladas pueden indicar la aparición de nuevos ataques más peligrosos.

«Si se da prioridad inmediata a estas alertas, los equipos de operaciones de seguridad pueden mitigar mejor los ataques y evitar el despliegue del ransomware», dijeron los investigadores. «Las infecciones de malware como Emotet, Dridex y Trickbot deben ser remediadas y tratadas como un potencial compromiso total del sistema, incluyendo cualquier credencial presente en él».

Más información:
Ataque a Epiq Global
https://techcrunch.com/2020/03/02/epiq-global-ransomware/
BleepingComputer
https://www.bleepingcomputer.com/news/security/microsoft-shares-tactics-used-in-human-operated-ransomware-attacks/

Acerca de Jesús Álvarez

Jesús Álvarez Ha escrito 38 publicaciones.

  • View all posts by Jesús Álvarez →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Ataques, Malware Etiquetado como: ransomware, rdp

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Las apps de mensajería y videoconferencia te escuchan incluso cuando estás "muteado"
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Tamagotchi para hackers: Flipper Zero
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...