El notorio troyano bancario Trickbot está experimentando modificaciones en el código a medida que los operadores aumentan los ataques globales, que cada vez más se dirigen a Japón en esta temporada navideña, informan investigadores.
Los datos de IBM X-Pressure indican que TrickBot es actualmente el troyano bancario más activo. Como sus muchos objetivos han evolucionado a lo largo de los años, también lo ha hecho Trickbot: la amenaza se modificó en agosto para apuntar a los usuarios de dispositivos móviles, y es la carga principal en los ataques contra empresas de atención médica. A principios de este año, los operadores de TrickBot comenzaron a utilizar la redirección en lugar de archivos adjuntos de correo electrónico malicioso para propagar malware. También hizo la lista de Webroot de malware más desagradable para 2019.
TrickBot ha aparecido principalmente en campañas en países de habla occidental e inglesa. Si bien se ha visto en otras regiones, esta es la primera vez que se ve TrickBot en bancos japoneses. Los investigadores de X-Force instan a los compradores en Japón a desconfiar de TrickBot en sitios de comercio electrónico y plataformas de criptomonedas. Si bien la mayoría de las campañas apuntan a la banca en línea (76%), el comercio electrónico (5%), las tarjetas de pago (3%), las cooperativas de crédito (3%) y los intercambios de Bitcoin (3%) también están dirigidos.
Las campañas dirigidas a entidades japonesas han estado utilizando spam malicioso y distribución por parte de la botnet Emotet para colocar TrickBot en los dispositivos de destino. La mayoría de los ataques usan inyecciones world-wide-web en sitios world-wide-web bancarios, lo que finalmente conduce a fraude bancario. Una de las tácticas recurrentes de TrickBot, extraída del servidor del atacante, consiste en engañar a las víctimas para que compartan datos de identificación particular, detalles de tarjetas de pago, PIN y detalles de autorización de transacciones, explican los investigadores en un web site.
La aparición de TrickBot en Japón es preocupante en sí misma Sin embargo, los investigadores advierten que los ataques de TrickBot podrían convertirse en ransomware Ryuk. «Se sabe que una cadena de asesinatos que comienza con infecciones de Emotet y TrickBot provoca ataques de Ryuk, infecciones generalizadas de ransomware que pueden paralizar a las organizaciones y extorsionarlas con demandas de millones de dólares en dinero de rescate», escribieron Limor Kessem e Itzik Chimino de X-Pressure. en un entrada en el weblog en las noticias.
Ryuk también ha demostrado ser una amenaza activa en 2019. El ransomware es conocido por su «tiempo de permanencia», o la cantidad de tiempo entre la infección inicial y el daño a un sistema objetivo. También se sabe que cambia la cantidad del rescate dependiendo de cuánto cree que la víctima puede pagar. En una alerta emitido por el Centro Nacional de Seguridad Cibernética del Reino Unido en julio, los funcionarios explicaron que una infección inicial comienza con Emotet, seguida de una infección TrickBot que brinda capacidades de ofuscación. Si un sistema objetivo proporciona información que indica que pueden pagar el rescate, Ryuk se implementa.
Kessem y Chimino aconsejan a las empresas que mantengan un management estricto del sistema operativo y los programas de actualización de aplicaciones, ya que el malware a menudo busca sistemas sin parches. «Separe y use controles compensatorios en los activos que no pueden ser parcheados», señalan.
Las empresas también pueden utilizar la capacitación basada en roles para alertar a los empleados de contabilidad sobre TrickBot, el compromiso del correo electrónico comercial y los ataques de fraude electrónico. La actividad sospechosa se debe escalar rápidamente a la respuesta a incidentes, especialmente si un dispositivo se está comunicando con direcciones IP erróneas conocidas.
Contenido relacionado:
Kelly Sheridan es la Editora de personalized de Dark Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance plan & Technological innovation, donde cubrió asuntos financieros … Ver biografía completa
Más strategies
