El comportamiento y la propagación de Emotet son presagios de ataques de ransomware - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El comportamiento y la propagación de Emotet son presagios de ataques de ransomware

Hola otra vez. Soy Eduardo Arroyo y en esta ocasión vamos a hablar sobre El comportamiento y la propagación de Emotet son presagios de ataques de ransomware

El comportamiento y la propagación de Emotet son presagios de ataques de ransomware

La botnet, que resurgió el mes pasado en la parte posterior de TrickBot, ahora puede instalar Cobalt Strike directamente en dispositivos infectados, lo que brinda a los actores de amenazas acceso directo a los objetivos.

La rápida propagación de Emotet a través de TrickBot y su comportamiento desde que el malware resurgió el mes pasado podría indicar que se avecina una ola de ataques de ransomware, lo que lleva a los investigadores a advertir a las organizaciones que se pongan el cinturón de seguridad y se preparen.

A mediados de noviembre, un equipo de investigadores de Cryptolemus, G DATOS Y AdvIntel revelaron que vieron al troyano TrickBot lanzar lo que parece ser un nuevo cargador para el infame Emotet, que ha sido llamado «el malware más peligroso del mundo».

Ahora se ha observado a Emotet directamente durante la instalación Beacon Cobalt Strike sobre los dispositivos infectados, advirtió Cryptolaemus, un grupo global de expertos en seguridad, en Twitter. Este comportamiento puede dar a los actores de amenazas acceso directo para instalar ransomware en los sistemas de destino, dijeron los investigadores.

“Lo hemos confirmado #ser emocionado lanza CS Beacons en robots E5 «, según una publicación en el feed de Twitter de Cryptolaemus.

🚨🚨ATENCIÓN 🚨🚨 Hemos confirmado que #ser emocionado está lanzando CS Beacons en robots E5 y hemos observado lo siguiente a las 10:00 EST / 15:00 UTC. Se lanzó la siguiente señal: https://t.co/imJDQTGqxV Tenga en cuenta el tráfico hacia lartmana[.]com. Este es un servidor de CS Teams activo. 1 / x

– Cryptolemus (@ Cryptolaemus1) 7 de diciembre de 2021

“Nada de TrickBot u otra basura intermedia. Directo a CS y movimiento lateral a CC / partes críticas de la red «, los investigadores tuiteó. «Tienes que prestar atención a esto y tienes que prepararte».

El miércoles, Check Point Research también lanzó un relación que advirtió sobre ataques de ransomware inminentes ahora que TrickBot está lanzando muestras de Emotet, especialmente considerando que TrickBot ha acumulado 140,000 víctimas en 149 países en solo 10 meses.

Los investigadores de Check Point han identificado 223 campañas de TrickBot diferentes en los últimos seis meses, con objetivos en el gobierno, las finanzas y la fabricación, con las regiones geográficas de Portugal y Estados Unidos en la parte superior de la lista.

Si bien el hecho de que 129 de las 223 campañas cerradas en julio parezca indicar «que la actividad de TrickBot ha disminuido en escala», no es así, dijeron los investigadores.

«En combinación con todos los demás hechos, podemos concluir que es todo lo contrario», escribieron. «Las campañas se han vuelto más masivas y con objetivos más amplios a medida que el número de víctimas sigue aumentando a pesar de la disminución en el número de campañas».

Además, la propagación de Emotet descubierta recientemente por TrickBot es un fuerte indicador de futuros ataques de ransomware, ya que el malware proporciona a las bandas de ransomware una puerta trasera en las máquinas comprometidas, dijeron los investigadores en el informe.

«Con el regreso de Emotet y el uso del malware Trickbot como servicio de entrega, el panorama del malware está haciendo todo lo posible para ser lo más amenazante y efectivo posible», escribieron.

Socio de botnet en el crimen

TrickBot y Emotet, «dos de las redes de bots más grandes de la historia», según Check Point, son compañeros de cama cercanos y, en el pasado, a menudo han sido emparejados por amenazas para lanzar numerosos ataques. A menudo, era Emotet quien usaba su vasta red para entregar TrickBot como carga útil en campañas de phishing por correo electrónico específicas, aunque TrickBot también ha proporcionado muestras de Emotet, el escenario peligroso que tenemos entre manos ahora.

Emotet comenzó como un troyano bancario en 2014 y ha evolucionado continuamente hasta convertirse en un mecanismo de entrega de amenazas de servicio completo. La botnet fue «una vez una amenaza dominante que tenía más de 1,5 millones de máquinas bajo su dominio … capaz de infectar esas máquinas con banqueros, troyanos y ransomware adicionales», según Check Point.

De hecho, al final de su apogeo, el daño estimado de Emotet fue de alrededor de $ 2.5 mil millones, según los investigadores del informe.

Emotet pareció haber sido eliminado por la eliminación colaborativa de la aplicación de la ley internacional de una red de cientos de servidores de botnets que respaldaban el sistema en enero de 2021.

TrickBot también comenzó su vida como un troyano bancario, desarrollado por primera vez en 2016, y también recibió un golpe de las fuerzas del orden público en octubre de 2020, solo para resurgir en diciembre pasado.

Ahora que ambas redes de bots han vuelto y se utilizan juntas como arma, su capacidad para difundir ransomware es preocupante, con ataques a niveles récord en términos de volumen que mantienen despiertas a las fuerzas del orden internacional.

Ármate con nuevos trucos

Emotet también ha agregado nuevas características desde su renacimiento, con sus autores usando sus 10 meses de inactividad para actualizar el bot, según Check Point.

«Estos incluyen el uso de cifrado de curva elíptica en lugar de cifrado RSA, mejorar los métodos de control de flujo plano, agregar a la infección inicial utilizando instaladores de aplicaciones de Windows maliciosos que imitan software legítimo, y más», escribieron los investigadores.

Emotet también volvió a usar documentos maliciosos para liberar sus muestras, además de conducir junto con TrickBot, según Check Point, que detalló una infección de Emotet hecha de esta manera.

Específicamente, los investigadores analizaron un documento de Excel malicioso cargado de diferentes fuentes con un script dentro usando PowerShell para descargar las cargas útiles de Emotet, escribieron.

En general, esta nueva actividad de Emotet, junto con la persistente proliferación de TrickBot, no crea más que problemas para el panorama de la seguridad, en particular una posible explosión de ransomware, dijeron los investigadores.

«Emotet no es una amenaza para tomarse a la ligera, como hemos visto en el pasado, puede volverse monstruoso», escribieron. «La devolución también puede provocar un aumento de los ataques de ransomware, ya que se sabe que Emotet ha eliminado varios ransomware en el pasado».

Hay un mar de datos no estructurados en Internet relacionados con las últimas amenazas a la seguridad. REGÍSTRESE HOY para aprender los conceptos clave del procesamiento del lenguaje natural (NLP) y cómo usarlo para navegar por el océano de datos y agregar contexto a las amenazas de ciberseguridad (¡sin ser un experto!). Esta Ayuntamiento de Threatpost interactivo y en VIVO, patrocinado por Rapid 7, contará con los investigadores de seguridad Erick Galinkin de Rapid7 e Izzy Lazerson de IntSights (una empresa de Rapid7), así como la reportera de Threatpost y presentadora de seminarios web Becky Bracken.

.

Recuerda compartir en tu Facebook para que tus colegas lo flipen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *