Los atacantes escanean software PoS en …


Symantec dice que ganar dinero extra de las víctimas parece ser el objetivo.

Los operadores de Sodinokibi, una de las mayores amenazas de ransomware que actualmente atacan a las organizaciones empresariales, parecen haberse topado con una nueva táctica para tratar de generar dinero more de las víctimas.

Los investigadores de seguridad de Symantec detectaron recientemente una campaña de ransomware Sodinokibi en la que los atacantes escanean las redes de sus objetivos en busca de datos de tarjetas de crédito o puntos de venta (POS). No está claro si los atacantes apuntan a los datos para el cifrado o si lo ven como otra forma de ganar dinero con sus víctimas.

Symantec informó haber observado a los atacantes en la última campaña utilizando la herramienta de prueba de penetración Cobalt Strike para liberar a Sodinokibi en las redes de víctimas. Se descubrió que al menos ocho organizaciones, la mayoría de ellas grandes entidades de múltiples sitios, tenían la herramienta Cobalt Strike en sus sistemas. Tres de esas organizaciones, una de los sectores de atención médica, alimentos y servicios, se infectaron más tarde con Sodinokibi, dijo el vendedor de seguridad en un informe el martes.

Los atacantes han exigido hasta $ 50,000 en criptomoneda Monero de las víctimas si se paga dentro de las primeras tres horas, o $ 100,000 si se paga más tarde. Symantec dice que no ha podido determinar cómo los atacantes obtuvieron acceso inicial a las redes de víctimas en la última campaña Las tácticas típicas han incluido el uso de correos electrónicos de phishing y la explotación de vulnerabilidades en la infraestructura de Internet de una organización. En algunos casos, los atacantes han abierto cuentas en sistemas infectados para mantener la persistencia.

«Los adversarios siempre están buscando formas creativas de aumentar las ganancias de sus campañas de ataque», dice Jon DiMaggio, analista de inteligencia cibernética de Symantec.

En la campaña real, el atacante Sodinokibi está aprovechando todos los recursos en la infraestructura de la víctima para maximizar las ganancias. «Esto indica que no están interesados ​​únicamente en obtener un rescate», dice DiMaggio. «Están buscando otras formas de obtener ganancias potenciales».

Es possible que el atacante implemente malware de escaneo POS para extraer detalles de la tarjeta de crédito, si lo hicieran en una red de víctimas, dice.

Sodinokibi se ha convertido en una de las variedades de ransomware más prolíficas desde su aparición en abril de 2019, al menos en parte porque se distribuye bajo un modelo de ransomware como servicio. Varios proveedores de seguridad han descrito que el malware (también conocido como REvil) se united states principalmente en ataques contra grandes organizaciones con los recursos para pagar grandes rescates para recuperar sus datos.

Las víctimas más notables del malware incluyen el servicio de cambio de divisas Travelex, que supuestamente pagó unos $ 2.3 millones a principios de este año para recuperar datos después de un ataque de Nochevieja en sus sistemas. Sodinokibi también se ha asociado con un ataque contra el bufete de abogados de celebridades Grubman Shire Meiselas & Sacks de la lista A a principios de este año.

Amenaza de exposición de datos
En los últimos meses, Sodinokibi se ha utilizado en campañas donde los actores de amenazas han robado datos confidenciales y críticos para el negocio de las organizaciones de víctimas antes de cifrar los datos. Los atacantes amenazaron con divulgar públicamente los datos si la organización víctima se negaba a pagar el rescate exigido. A principios de este mes, el grupo detrás de Sodinokibi lanzó un sitio internet a través del cual planea subastar datos robados a compradores interesados.

«Esta es una táctica relativamente nueva vista solo por unos pocos grupos de atacantes organizados de ransomware», dice DiMaggio. La intención es avergonzar a la víctima mediante la publicación de datos comerciales confidenciales o incluso datos asociados con los clientes de la víctima, lo que los hace potencialmente responsables de daños, dice.

Sodinokibi surgió justo cuando los operadores de la familia de ransomware GandCrab, igualmente destructiva, anunciaron su «retiro» después de recaudar un rescate de 2.000 millones de dólares de las víctimas en todo el mundo. Muchos creen que el grupo GandCrab ahora también está detrás de Sodinokibi.

En su informe esta semana, Symantec describió a los actores de amenazas detrás de la última campaña de Sodinokibi como el uso de una combinación de malware personalizado y herramientas e infraestructura legítimas para llevar a cabo ataques. Los ejemplos incluyen el uso de una herramienta de administración remota de NetSupport para distribuir componentes de malware, el uso del servicio de alojamiento de códigos Patebin para alojar Cobalt Strike y Sodinokibi, y el servicio Amazon CloudFront para fines de comando y regulate.

El objetivo de utilizar estos servicios para alojar cargas maliciosas y comunicarse con sistemas infectados es garantizar que la actividad maliciosa esté oculta dentro del tráfico legítimo de una organización. Los defensores pueden pasar por alto las conexiones de purple a una infraestructura legítima y, por lo tanto, permitir que continúen las actividades maliciosas en sus redes, dice DiMaggio.

Los ataques de ransomware dirigidos están en aumento, por lo que es very important para las organizaciones reforzar su seguridad de punto last y tener planes de copia de seguridad y recuperación de datos en caso de que sean atacados. También es importante que las organizaciones implementen controles para detectar el mal uso de herramientas y servicios legítimos en sus redes.

«En casi todos los ataques dirigidos de ransomware empresarial, el adversario está presente en la crimson durante un período de tiempo antes de implementar el ransomware», dice DiMaggio. Durante este tiempo, utilizan herramientas legítimas en el entorno, así como herramientas y malware adicionales disponibles públicamente, como Mimikatz, que roba credenciales, para expandir su presencia.

«Identificar el mal uso de estas herramientas legítimas o el uso de herramientas de hackeo disponibles públicamente dentro del entorno objetivo presenta una oportunidad para detener el ataque antes de que comience», dice.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia initial