Noticias de Ciberseguridad: Boletín semanal 22-28 de agosto

El ransomware Conti se distribuye tras Trickbot

Conti es un ransomware aparecido por primera vez en ataques aislados en diciembre de 2019 pero que comenzó a ser una amenaza patente en junio de 2020 al incrementar de forma notable sus ataques contra objetivos corporativos. Este ransomware se rige por el modelo de Ransomware-as-a-Service, donde una serie de afiliados realizan los ataques y disponen de una parte de los beneficios obtenidos.

Siguiendo además las tendencias actuales en este tipo de amenazas, se trata de un ransomware operado manualmente que extorsiona a sus víctimas amenazando con la publicación de los archivos robados en sus intrusiones (actualmente se cuentan 26 empresas incluidas en su web). Conti es considerado el heredero del ransomware Ryuk, cuya actividad comenzó a declinar hasta desaparecer por completo en julio, ya que ahora también ha adoptado los métodos de distribución de éste, posicionándose como payload final en los compromisos llevados a cabo por el malware Trickbot.

Más información: https://www.bleepingcomputer.com/news/security/ryuk-successor-conti-ransomware-releases-data-leak-site/

Nuevas campañas de troyanos Grandoreiro y Mekotio en España

En los últimos días se están detectando diversas campañas de correos electrónicos que distribuyen los troyanos bancarios de origen brasileño Grandoreiro y Mekotio en España. Por un lado, Grandoreiro está haciendo uso de la misma plantilla de correo ya utilizada en campañas anteriores, donde suplanta a la Agencia Tributaria con el fin de que la víctima descargue un fichero alojado en dominios recientemente creados. Además, este malware también está suplantando a la empresa Vodafone como parte de esta campaña.

En cuanto al troyano Mekotio, cabe destacar que también está suplantando a la Agencia Tributaria así como al Ministerio de Trabajo, siendo destacable que el enlace de descarga del malware apunta a una dirección alojada en la nube de Microsoft Azure. Que estas campañas se estén centrando en España es indicador del éxito que estaría teniendo entre víctimas del país, por lo que se recomienda revisar los correos electrónicos que se reciben, no abrir ficheros ni acceder a enlaces, y siempre acudir a la página web oficial de la empresa u organismo en cuestión suplantado.

Noticia completa: https://blogs.protegerse.com/2020/08/25/oleadas-de-correos-propagan-los-troyanos-bancarios-grandoreiro-y-mekotio-en-espana/

SunCrypt nuevo miembro del cártel de Maze

SunCrypt es el último ransomware que se ha unido al cártel de ransomwares formado por Maze, LockBit y Ragnar Locker. De acuerdo a los gestores de SunCrypt, estos se habrían unido al cártel debido a que Maze “no podría estar manejando todo el campo de operaciones disponibles”. De esta forma Maze estaría compartiendo su infraestructura de ataques a cambio de un beneficio económico compartido en caso de que las operaciones de compromiso resulten exitosas.

Atendiendo al ransomware SunCrypt, se sabe que comenzó a operar en octubre de 2019 y que se distribuye como una DLL. Al ejecutarse, cifra los archivos del sistema agregando un hash hexadecimal al final de cada archivo y creando una nota de rescate que contiene un enlace al sitio de pago de Tor, así como al sitio web de filtración de datos de SunCrypt. Es destacable que al ejecutarse el ransomware, este se conecta a una IP para transmitir información de la víctima y el ataque, siendo esta IP una de las utilizadas por Maze en sus operaciones.

Más detalles: https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-sheds-light-on-the-maze-ransomware-cartel

Nueva campaña de Qbot para robar hilos de correos

Investigadores de Check Point han publicado un informe en el que informan que el troyano Qbot, también conocido como QakBot, estaría robando de nuevo hilos de correos electrónicos para su futuro uso en campañas de phishing y distribución de malware. Qbot es un troyano bancario que lleva más de 10 años infectando a víctimas y exfiltrando de sus equipos contraseñas, cookies, tarjetas de crédito, credenciales bancarias y correos electrónicos.

Los hilos robados se aprovechan para campañas de phishing y malspam, siendo estas muy efectivas ya que resultan más creíbles al incluir correos maliciosos entre la conversación de un hilo de correos ya conocido por los usuarios. Los investigadores destacan una de las características agregadas a Qbot, que consiste en la capacidad de ensamblar el malware a partir de dos mitades, evitando de esta forma la detección cuando se descarga en el equipo víctima.

Más información: https://research.checkpoint.com/2020/exploring-qbots-latest-attack-methods/

Y si quieres más información en tiempo real, suscríbete a nuestro canal de noticias y reflexiones sobre ciberseguridad creado por el equipo de Innovación y Laboratorio de ElevenPaths. Visita el canal de Telegram CyberSecurity Pulse aquí.

Para más información visita https://empresas.blogthinkbig.com/elevenpaths/ o https://cybersecuritypulse.e-paths.com.