Inicio Tecnología El último proyecto de ransomware de Evil Corp se está extendiendo rápidamente

El último proyecto de ransomware de Evil Corp se está extendiendo rápidamente

La banda ciberdelincuente rusa conocida como Evil Corp parece estar operando un nuevo Secuestro de datos cepa, WastedLocker, que ha estado en circulación generalizada desde mayo de 2020, según investigadores de Unidad Fox-IT de NCC.

Evil Corp había reducido su actividad tras la acusación de dos de sus presuntos miembros de alto perfil en los EE. UU. En 2019: Igor Turashev y Maksim Yakubets son buscados por su papel en la creación y difusión de los troyanos bancarios Bugat / Dridex y Zeus.

Sin embargo, los investigadores de amenazas Nikolaos Pantazopoulos, Stefano Antenucci y Michael Sandee dijeron que a pesar de que las asociaciones “comerciales” pueden ser bastante fluidas en las pandillas ciberdelincuentes organizadas, con asociaciones y afiliaciones formadas y disueltas en un abrir y cerrar de ojos, pudieron evaluar con un alto grado de confianza que Evil Corp está detrás de WastedLocker.

Dijeron que el grupo tiene acceso a desarrolladores de software y exploits altamente calificados y que hace un gran esfuerzo para evitar las soluciones de protección de punto final, en un caso incluso haciéndose pasar por un cliente legítimo para obtener una prueba gratuita de un proveedor de seguridad cibernética. Se sabe que son experimentados, pacientes y persistentes, con un alto grado de atención al detalle.

WastedLocker: llamado así porque agrega una extensión a los archivos encriptados que consiste en el nombre de la víctima y la cadena “desperdiciada”, se cree que es un reemplazo para la cepa BitPaymer de tres años del grupo, con poca reutilización de código o similitudes.

Deberías leer:   El proveedor de Apple Foxconn dijo que invertirá $ 1 mil millones en India

Infecta sus objetivos a través de un marco JavaScript malicioso, SocGholish, que se disfraza como una actualización de software y, de acuerdo con Symantec, ha sido rastreado a más de 150 sitios web comprometidos. Una vez dentro de su objetivo, utiliza el malware CobaltStrike para robar credenciales, escalar privilegios y moverse lateralmente a través de la red para implementar WastedLocker en tantas máquinas como sea posible.

Deberías leer:   Más aplicaciones de malware Joker se lanzaron de Google Play Store

Symantec dijo que a través de su propia herramienta de análisis, hasta la fecha ha detectado ataques WastedLocker en 31 organizaciones, todas ellas en los EE. UU., En su mayoría grandes corporaciones. Dijo que 11 de ellos estaban en la lista, y ocho eran compañías Fortune 500.

Erich Kron, uno de KnowBe4 Los defensores de la conciencia de seguridad dijeron que no estaba terriblemente sorprendido de ver a Evil Corp de vuelta en la escena.

“Ahora parece que sabemos por qué se fueron por un tiempo, estaban trabajando en esta nueva variedad de ransomware”, dijo Kron. “A menudo bromeé sobre los productos que se comercializan como nuevos y mejorados; sin embargo, en este caso, eso parece ser la verdad.

“Se hizo un gran esfuerzo para escribir esto, aparentemente desde cero, donde generalmente podemos esperar ver una variante de una cepa anterior, o al menos algo de reutilización de código, dentro del nuevo producto. Curiosamente, parece que las únicas similitudes se encuentran en la nota de rescate “.

Deberías leer:   Más aplicaciones de malware Joker se lanzaron de Google Play Store

A diferencia de otros, Evil Corp aún no ha adoptado la táctica de amenazar con publicar información robada sobre sus víctimas, y Kron señaló que esto era bastante inusual, aunque agregó que podría simplificar las cosas para Evil Corp, ya que no tiene que lidiar con el almacenamiento y la publicación de datos exfiltrados, o el riesgo de exponerse durante el robo.

“Sus etiquetas de precio son lo suficientemente grandes como para suponer que estarán contentos de que solo unas pocas víctimas paguen”, dijo Kron. “Parecen tener un plan bastante bueno que cubre cómo hacer que eso suceda, apuntando a tipos específicos de servidores y buscando copias de seguridad donde sea que puedan encontrarlos. Una vez que el ransomware cifra sus copias de seguridad, sus opciones se vuelven muy limitadas en cuanto a cómo proceder “.

Deberías leer:   Twitter suspende una gran cantidad de cuentas nacionalistas blancas

Aunque Evil Corp parece estar usando WastedLocker para apuntar a negocios por ahora, Steve Moore de Exabeam dijo que los últimos 12 meses han demostrado sin lugar a dudas cuán dañino puede ser el ransomware, particularmente para las agencias del sector público y los organismos gubernamentales, y dijo que lo que está en juego en 2020 será aún mayor a medida que se acerque la elección presidencial de Estados Unidos.

Deberías leer:   Los mejores navegadores web para 2020

“La comunidad de seguridad cibernética tendrá que intensificar en este momento de necesidad y proporcionar una forma para que los sistemas electorales federales y estatales bloqueen la interferencia extranjera y el ransomware”, dijo. “Esto requerirá que las entidades gubernamentales asignen a profesionales cibernéticos y equipos de fuerza de trabajo para preparar cualquier sistema nuevo que funcione de manera completamente remota mientras permanecen bloqueados y sin influencia de actores malos externos o internos.

“Hay pasos que las agencias y organizaciones pueden tomar para aumentar sus posibilidades de detectar e interrumpir y motivar a los adversarios. Estos ataques son simples, pero difíciles de prevenir, especialmente porque las infecciones generalmente se disfrazan de archivos adjuntos inocentes o enlaces de correo electrónico.

“Las agencias pueden educar a su personal, pero no hay garantía de que alguien no se equivoque eventualmente, solo se necesita una, especialmente mientras se trabaja desde casa”.

Moore agregó que los controles de seguridad de los productos básicos fueron, en general, incapaces de mantener el ritmo del desarrollo y la actualización del ransomware, por lo que la lucha debe estar orientada a cambiar y reducir los procesos comerciales indocumentados que se esconden dentro de los correos electrónicos entrantes, y brindando mayores capacidades para equipos de seguridad, como análisis de comportamiento y aprendizaje automático.

Pilar Benegas
Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.

Most Popular

Garantizar que Europa se mantenga a la vanguardia de la innovación:

En las últimas dos décadas, una combinación...

Estas son las empresas de California que deben cerrar

California dio el lunes un paso importante para cerrar partes de la economía a medida que la propagación del coronavirus continuó sin control.El gobernador...

Tom Bergeron dice que bailar con las estrellas continuará sin él

Después de 15 años, Tom Bergeron ya no será anfitrión Bailando con las estrellas. El anfitrión de mucho tiempo tuiteó el lunes que...

Tory Lanez, según los informes, arrestada por un cargo de arma

Compañeros de habitación después de aparecer en Instagram Live de # MeganTheeStallion con #KylieJenner, parece que Tory pudo haber terminado en el...