El malware que normalmente instala ransomware y que debe eliminar de inmediato


cráneo de malware

Imagen: Lina White

Atrás quedaron los días en que los conjuntos de ransomware operaban lanzando campañas masivas de spam por e-mail con la esperanza de inficionar a usuarios azarosos en Internet.

En la actualidad, los operadores de ransomware han pasado de ser un nicho de torpes bandas de malware a una serie de cárteles complejos de ciberdelitos con las habilidades, herramientas y presupuestos de conjuntos de piratería informática patrocinados por el gobierno.

Hoy en día, las bandas de ransomware dependen de asociaciones de múltiples niveles con otras operaciones de ciberdelito. Llamado «corredores de acceso inicial, «estos conjuntos operan como la cadena de suministro de la clandestinidad delincuente, dando a las bandas de ransomware (y otras) acceso a grandes compilaciones de sistemas comprometidos.

Estos sistemas, que constan de terminales RDP pirateados, dispositivos de red con puertas traseras y computadoras inficionadas con malware, dejan que las bandas de ransomware consigan acceso sencillamente a las redes corporativas, aumenten su acceso y cifren ficheros para demandar grandes rescates.

Estos agentes de acceso inicial son una parte vital de la escena del ciberdelito. Hoy día, 3 géneros de corredores se resaltan como las fuentes de la mayor parte de los ataques de ransomware:

  • Vendedores de terminales RDP comprometidos: Las bandas de criminalidad cibernética están realizando ataques de fuerza salvaje contra estaciones de trabajo o bien servidores configurados para acceso recóndito RDP que asimismo han quedado expuestos en Internet con credenciales enclenques. Estos sistemas se venden más tarde en las llamadas «tiendas RDP» lugar desde donde las bandas de ransomware frecuentemente escogen sistemas que piensan que podrían estar situados en la red de un propósito de alto valor.
  • Vendedores de dispositivos de red pirateados: Las bandas de criminalidad cibernética asimismo usan exploits para vulnerabilidades conocidas en público para tomar el control del equipo de red de una compañía, como servidores VPN, firewalls o bien otros dispositivos periféricos. El acceso a estos dispositivos y las redes internas que resguardan / conectan se vende en foros de discusión de piratería o bien de forma directa a bandas de ransomware.
  • Vendedores de computadoras que están inficionadas con malware: Muchas de las redes de bots de malware de en nuestros días frecuentemente examinan las computadoras que inficionan en pos de sistemas en redes corporativas y después venden el acceso a estos sistemas de alto valor a otras operaciones de ciberdelito, incluyendo las bandas de ransomware.

La protección contra estos 3 géneros de vectores de acceso inicial acostumbra a ser la manera más fácil de eludir el ransomware.

Sin embargo, aunque resguardarse contra los 2 primeros en general implica practicar buenas políticas de claves de acceso y sostener el equipo actualizado, el tercer vector es más bastante difícil de resguardar.

Esto se debe a que los operadores de redes de bots de malware frecuentemente confían en la ingeniería social para mentir a los usuarios a fin de que instalen mismos malware en sus sistemas, aun si las computadoras están ejecutando software actualizado.

Este artículo se centra en las cepas de malware conocidas que se han usado a lo largo de los últimos un par de años para instalar ransomware.

Compilada con la ayuda de estudiosos de seguridad de Advanced Intelligence, Binary Defense y Sophos, la próxima lista debería servir como un instante de «código colorado» para cualquier organización.

Una vez que se advierte cualquiera de estas cepas de malware, los administradores del sistema deben dejar todo, poner los sistemas on line y auditar y quitar el malware como máxima prioridad.

ZDNet sostendrá la lista actualizada en el futuro.

r-emotet.png

Emotet se considera la mayor botnet de malware de la actualidad.

Hay pocos casos en los que Emotet se haya ocupado de forma directa de bandas de ransomware, mas muchas infecciones de ransomware se remontan a las infecciones iniciales de Emotet.

Por lo general, Emotet vendía el acceso a sus sistemas inficionados a otras bandas de malware, que entonces vendieron su acceso a bandas de ransomware.

Hoy en día, la cadena de infección de ransomware más habitual vinculada a Emotet es: Emotet — Trickbot — Ryuk

r-trickbot.png

Trickbot es una botnet de malware y un delito cibernético afín a Emotet. Trickbot inficiona a sus víctimas, mas asimismo se sabe que adquiere acceso a sistemas inficionados con Emotet para acrecentar su número.

En los últimos un par de años, los estudiosos de seguridad han visto a Trickbot vender el acceso a sus sistemas a bandas de criminalidad cibernética que entonces desplegaron Ryuk y después el ransomware Conti.

Trickbot — Conti
Trickbot — Ryuk

r-bazar.png

BazarLoader en la actualidad se considera una puerta trasera modular desarrollada por un conjunto con links o bien que se derivó de la pandilla primordial de Trickbot. De cualquier forma, con independencia de de qué manera llegaron a ser, el conjunto sigue el modelo de Trickbt y ya se ha asociado con bandas de ransomware para otorgar acceso a los sistemas que inficionan.

Actualmente, BazarLoader se ha considerado el punto de origen de las infecciones con el ransomware Ryuk. [1, 2, 3].

BazarLoader — Ryuk

r-qbot.png

QakBot, Pinkslipbot, Qbot o bien Quakbot se llaman en ocasiones en la comunidad infosec como el Emotet «más lento» por el hecho de que generalmente hace lo que hace Emotet, mas unos meses después.

Con la banda Emotet dejando que sus sistemas se usen para incorporar ransomware, QakBot asimismo se ha asociado últimamente con diferentes bandas de ransomware. Primero con MegaCortex, entonces con ProLock y en la actualidad con la banda de ransomware Egregor.

QakBot: MegaCortex
QakBot — ProLock
QakBot — Egregor

r-sdbbot.png

SDBBot es una pluralidad de malware operada por un conjunto de ciberdelincuencia llamado TA505.

No es una cepa de malware común, mas se ha visto como el punto de origen de los incidentes donde se incorporó el ransomware Clop.

SDBBot — Clop

r-dridex.png

Dridex es otra banda de troyanos bancarios que se ha reordenado como un «descargador de malware», siguiendo los ejemplos establecidos por Emotet y Trickbot en dos mil diecisiete.

Si bien anteriormente, la botnet Dridex ha usado campañas de spam para repartir el ransomware Locky a usuarios azarosos por medio de Internet, a lo largo de los últimos años, asimismo están usando computadoras que han inficionado para quitar las cepas de ransomware BitPaymer o bien DoppelPaymer para ataques más concretos contra objetivos de alto valor.

Dridex — BitPaymer
Dridex — DoppelPaymer

r-zloader.png

Una llegada tardía al juego de «instalar ransomware», Zloader se pone al día de forma rápida y ya ha establecido asociaciones con los operadores de las cepas de ransomware Egregor y Ryuk.

Si hay una operación de malware que tiene la capacidad y las conexiones para expandirse, es esta.

Zloader — Egregor
Zloader: Ryuk

r-buer.png

Buer, o bien Buer Loader, es una operación de malware que se lanzó a fines del año pasado, mas que ha establecido una reputación y conexiones en el ciberdelito furtivo para asociarse con conjuntos de ransomware.

Según Sophos, ciertos incidentes en los que se descubrió el ransomware Ryuk se han relacionado con infecciones de Buer días ya antes.

Buer — Ryuk

r-phorpiex.png

Phorpiex, o bien Trik, es una de las redes de bots de malware más pequeñas, mas no menos peligrosa.

Las infecciones con el ransomware Avaddon observadas a inicios de este año se han relacionado con Phorpiex. Si bien ni Avaddon ni Phorpiex son nombres comunes, deben tratarse con exactamente el mismo nivel de atención que Emotet, Trickbot y el resto.

Phorpiex — Avaddon

r-cobalt.png

CobaltStrike no es una botnet de malware. Realmente, es una herramienta de prueba de penetración desarrollada para estudiosos de ciberseguridad que frecuentemente asimismo es abusada por bandas de malware.

Las empresas no se «inficionan» con CobaltStrike. No obstante, muchas bandas de ransomware incorporan componentes CobaltStrike como una parte de sus intrusiones.

La herramienta se utiliza frecuentemente como una forma de supervisar múltiples sistemas en una red interna y como un predecesor del ataque de ransomware real.

Muchas de las cadenas de infección enumeradas previamente son realmente [MalwareBotnet]—CobaltStrike—[Ransomware], con CobaltStrike en general sirviendo como el mediador más habitual entre los 2.

Incluimos CobaltStrike en nuestra lista a solicitud de nuestras fuentes, que lo consideran tan peligroso como una cepa de malware de hecho. Si lo ve en su red y no está ejecutando una prueba de penetración, detenga todo cuanto esté haciendo, desconecte los sistemas y audite todo para el punto de entrada de un ataque.

Deja un comentario