La pandilla TrickBot ingresa a la élite del ciberdelito con nuevos afiliados - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La pandilla TrickBot ingresa a la élite del ciberdelito con nuevos afiliados

Hola otra vez. Yo soy Eduardo Arroyo y en esta ocasión te voy a contar sobre La pandilla TrickBot ingresa a la élite del ciberdelito con nuevos afiliados

La pandilla TrickBot ingresa a la élite del ciberdelito con nuevos afiliados

El grupo, que también creó el ransomware BazarLoader y Conti, ha reforzado sus tácticas de distribución para amenazar a las empresas más que nunca.

Los ciberdelincuentes detrás del infame troyano TrickBot firmaron dos afiliados de distribución adicionales, llamados IBM X-Force’s Hive0106 (también conocido como TA551) y Hive0107. ¿El resultado? Aumento de los impactos del ransomware en las empresas, especialmente con el ransomware Conti.

El desarrollo también habla de la creciente sofisticación de la pandilla TrickBot y la ubicación clandestina del delito cibernético, dijeron los investigadores de IBM: «Este último desarrollo demuestra la fuerza de sus conexiones dentro del ecosistema ciberdelincuente y su capacidad para explotar estas relaciones para expandir el número de organizaciones. infectado con su malware «.

El malware TrickBot comenzó como un troyano bancario en 2016, pero ha evolucionado rápidamente para convertirse en una amenaza modular de servicio completo. Es capaz de realizar una variedad de funciones de robo de datos y de puerta trasera, puede proporcionar cargas útiles adicionales y tiene la capacidad de moverse rápidamente hacia los lados dentro de una organización.

Según IBM, la banda TrickBot (también conocida como ITG23 o Wizard Spider) ahora ha agregado poderosas tácticas de distribución adicionales a su grupo de trampas, gracias a los dos nuevos afiliados.

«A principios de este año, [the TrickBot gang] se basó principalmente en campañas de correo electrónico que entregaron documentos de Excel y una estrategia de centro de llamadas conocida como BazarCall para entregar sus cargas útiles a los usuarios comerciales «, dijeron los investigadores de IBM en un Análisis de miércoles. «Sin embargo … los nuevos afiliados han agregado el uso de hilos de correo electrónico secuestrados y formularios de consulta en sitios web fraudulentos. Esta medida no solo ha aumentado el volumen de sus intentos de entrega, sino que también ha diversificado sus métodos. Entrega con el objetivo de infectar más víctimas potenciales que nunca «.

BazarCall es un táctica de distribución que comienza con correos electrónicos que ofrecen «suscripciones de prueba» a varios servicios, con un número de teléfono en la lista para llamar al servicio de atención al cliente y evitar que se le cobre. Si alguien llama, un operador del centro de llamadas responde y dirige a las víctimas a un sitio web para darse de baja del servicio: un proceso en el que «el agente» sigue a la persona que llama. Eventualmente, las computadoras vulnerables se infectan con malware, generalmente el implante BazarLoader, que es otro malware en el arsenal de la pandilla TrickBot y, a veces, el propio TrickBot. Según IBM, este tipo de ataques continuaron durante el otoño, reforzados por nuevos enfoques de distribución.

Mientras tanto, desde 2020, la banda TrickBot ha estado muy involucrada en la economía del ransomware, y el malware TrickBot sirve como punto de entrada inicial a las campañas. Los usuarios infectados con el troyano verán que su dispositivo se convierte en parte de una botnet que los atacantes suelen utilizar para cargar la variante de ransomware de segunda etapa. Los operadores también han desarrollado su propio ransomware, según IBM: el código Conti, conocido por atacar hospitales, destruir archivos de respaldo y perseguir tácticas de doble extorsión.

IBM señaló que desde que las dos afiliadas se unieron en junio, ha habido un aumento correspondiente en los ataques de ransomware Conti, probablemente una coincidencia.

«Hoy, el ransomware y la extorsión van de la mano», según el análisis de la empresa. «[The TrickBot gang] También se ha adaptado a la economía del ransomware creando cuentas de Ransomware-as-a-service (RaaS) y usando sus cargas útiles BazarLoader y Trickbot para ganar terreno en los ataques de ransomware.

Los investigadores de IBM X-Force señalaron que el desarrollo más importante desde junio para la distribución de los diversos tipos de malware de la banda TrickBot es la nueva asociación con Hive0106 (también conocido como TA551, Shathak y UNC2420).

Hive0106 se especializa en grandes volúmenes de spam y es un grupo de amenazas con motivaciones financieras que últimamente ha estado buscando asociarse con bandas de delincuentes cibernéticos de élite, dijo la compañía.

Las campañas de Hive0106 comienzan con el secuestro de hilos de correo electrónico, una táctica iniciada por su amigable Emotet. La táctica involucra saltar para igualar en progreso responder a un mensaje entrante con el pretexto de ser el titular legítimo de la cuenta. Estos subprocesos de correo electrónico existentes son robados por clientes de correo electrónico durante infecciones anteriores. Hive0106 es capaz de montar estas campañas a gran escala, dijeron los investigadores, utilizando dominios maliciosos recién creados para alojar cargas útiles de malware.

«Los correos electrónicos incluyen la línea de asunto del hilo de correo electrónico, pero no todo el hilo», según el informe de IBM X-Force. «Dentro del correo electrónico hay un archivo que contiene un adjunto malicioso y una contraseña».

En campañas nuevas, ese documento malicioso suelta un archivo de aplicación HTML (HTA) cuando las macros están habilitadas.

«Los archivos HTA contienen código de hipertexto y también pueden contener scripts VBScript o JScript, los cuales se utilizan a menudo en macros explosivas», según el análisis. «El archivo HTA luego descarga Trickbot o BazarLoader, que luego se observó al descargar Cobalt Strike».

Cobalt Strike es la herramienta legítima de prueba de lápiz de la que a menudo los ciberdelincuentes abusan para ayudar con el movimiento lateral. A menudo es un precursor de una infección de ransomware.

Otro afiliado importante que se enganchó a la pandilla TrickBot este verano es Hive0107, que pasó la primera mitad del año distribuyendo el troyano IcedID (un rival de TrickBot). Cambió los caballos a TrickBot en mayo, utilizando su método de distribución de formularios de contacto patentado.

Los analistas «observaron Hive0107 con campañas de distribución ocasionales del malware Trickbot detectado desde mediados de mayo hasta mediados de julio de 2021 … después de ese período, Hive0107 cambió por completo al suministro de BazarLoader», según los investigadores, quienes agregaron que la mayoría de las campañas apuntan organizaciones en Estados Unidos y, en menor medida, Canadá y Europa.

Hive0107 es conocido por utilizar formularios de contacto de clientes en sitios web corporativos para enviar enlaces maliciosos a empleados involuntarios. Por lo general, según el análisis, los mensajes que envía amenazan con emprender acciones legales.

Anteriormente, los ciberdelincuentes utilizaban la infracción de derechos de autor como una táctica: «El grupo generalmente ingresa información en estos formularios de contacto, posiblemente utilizando métodos automatizados, informando a la organización objetivo que ha usado ilegalmente imágenes con derechos de autor e incluye un enlace a sus pruebas», IBM X-Strength explicaron los investigadores.

En las nuevas campañas, Hive0107 está usando un señuelo diferente, dijeron los investigadores, alegando que la empresa objetivo ha realizado ataques de denegación de servicio distribuido (DDoS) en sus servidores. Por lo tanto, los mensajes proporcionan un enlace (malicioso) a supuestas pruebas y cómo remediar la situación.

El grupo también envía el mismo contenido por correo electrónico al personal de la organización, un nuevo cambio de táctica.

En cualquier caso, según el análisis, los enlaces están alojados en servicios legítimos de almacenamiento en la nube donde reside la carga útil.

«Al hacer clic en el enlace, se descarga un archivo .ZIP que contiene un descargador de JScript (JS) malicioso titulado ‘Evidencia de imágenes robadas.js’ o ‘Prueba de ataque DDoS e instrucciones sobre cómo solucionarlo.js'», explicaron los investigadores. «URL de contactos de archivos JS en dominios recién creados para descargar BazarLoader».

BazarLoader luego continúa descargando Cobalt Strike y un script de PowerShell para explotar la vulnerabilidad PrintNightmare (CVE-2021-34527), agregaron, y a veces TrickBot.

«IBM sospecha que el acceso obtenido a través de estas campañas Hive0107 se utiliza en última instancia para iniciar un ataque de ransomware», señalaron los investigadores.

Las nuevas campañas de afiliados son una prueba del éxito continuo de la pandilla TrickBot entrando en el círculo de élite de los ciberdelincuentes, concluyó la compañía, una tendencia que IBM X-Force planea continuar el próximo año.

«[The gang] comenzó agresivamente en 2016 y se ha convertido en un elemento básico del ciberdelito en la arena de los actores de amenazas de Europa del Este «, dijeron los investigadores.» En 2021, el grupo se reposicionó entre los líderes de la industria del ciberdelito. ciberdelito «.

Agregaron: «El grupo ya ha demostrado su capacidad para mantener y actualizar su malware e infraestructura, a pesar de los esfuerzos de las fuerzas del orden y los grupos de la industria para eliminarlo».

Para reducir las posibilidades de daños catastróficos por una infección (o un posterior ataque de ransomware), IBM recomienda que haga lo siguiente:

  • , almacenado por separado de las zonas de red a las que los atacantes podrían acceder con acceso de solo lectura. La disponibilidad de copias de seguridad efectivas es un diferenciador significativo para las organizaciones y puede respaldar la recuperación de un ataque de ransomware.
  • , especialmente cuando se trata de cargar grandes cantidades de datos en plataformas legítimas de almacenamiento en la nube de las que los atacantes pueden abusar.
  • para identificar posibles incidentes de seguridad. Cuando se activa, asume que se ha producido una infracción. Verifique, monitoree y actúe rápidamente ante sospechas de abuso de cuentas y grupos privilegiados.
  • en todos los puntos de acceso remoto de una red corporativa.
  • Se sabe que varios ataques de ransomware aprovechan el acceso RDP débil para obtener acceso inicial a través de una red.

.

Deberías compartir en tus redes sociales para que tus colegas lo consulten

??? ? ? ???

Comparte