Principales empresas estadounidenses dirigidas a una nueva campaña de ransomware


El grupo Evil Corp. golpeó al menos a 31 clientes en la campaña para implementar el malware WastedLocker, según Symantec.

Más de dos docenas de organizaciones estadounidenses, varias de ellas compañías Fortune 500, fueron atacadas en los últimos días por un grupo de amenazas conocido que busca desplegar una nueva variedad peligrosa de ransomware llamada WastedLocker.

Si los ataques hubieran tenido éxito, podrían haber resultado en daños por millones de dólares a las organizaciones y potencialmente haber tenido un gran impacto en las cadenas de suministro en los Estados Unidos, dijo Symantec en un informe el jueves.

Según el proveedor de seguridad, al menos 31 de sus clientes fueron atacados, lo que sugiere que el alcance actual de los ataques es mucho mayor. Once de las compañías cotizan en bolsa, y ocho están en la lista Fortune 500.

Entre los afectados se encontraban cinco organizaciones del sector manufacturero, cuatro empresas de TI y tres empresas de medios y telecomunicaciones. Las organizaciones en muchos otros sectores, como energía, transporte, servicios financieros y atención médica, también se vieron afectadas. En cada caso, los atacantes lograron romper las redes de las organizaciones objetivo y se preparaban para desplegar el ransomware cuando fueron detectados y detenidos.

«Los atacantes detrás de esta amenaza parecen ser hábiles y experimentados, capaces de penetrar en algunas de las corporaciones mejor protegidas, robar credenciales y moverse con facilidad a través de sus redes», Symantec prevenido. «Como tal, WastedLocker es una pieza de ransomware muy peligrosa».

Symantec describió los ataques como llevados a cabo por Evil Corp., un grupo ruso de ciberdelincuencia que anteriormente se había asociado con el troyano bancario Dridex y la familia de ransomware BitPayment. En diciembre pasado, las autoridades estadounidenses acusó a dos miembros asociados con el grupo, Maksim Yakubets e Igor Turashev, en relación con su operación de Dridex y los troyanos bancarios Zeus.

Se alega que los dos, junto con otros conspiradores, intentaron robar la asombrosa cantidad de $ 220 millones y causaron $ 70 millones en daños reales. El Programa de Recompensas de Delincuencia Organizada Transnacional (TOC) del Departamento de Estado de los Estados Unidos ha establecido una recompensa sin precedentes de $ 5 millones por información sobre Yakubets. Ambos hombres permanecen en libertad.

Campaña peligrosa
El grupo NCC, que también esta semana publicó un informe en la campaña WastedLocker, dijo que sus investigaciones mostraron que el ransomware ha estado en uso al menos desde mayo y que probablemente estaba en desarrollo varios meses antes. Evil Corp. generalmente se ha dirigido a servidores de archivos, servicios de bases de datos, máquinas virtuales y entornos en la nube en sus campañas de ransomware. También han mostrado una tendencia a interrumpir o deshabilitar los sistemas de respaldo y la infraestructura relacionada donde sea posible para que la recuperación sea aún más difícil para las víctimas, dijo NCC Team.

Symantec dijo que su investigación muestra que los atacantes están utilizando un malware basado en JavaScript previamente asociado con Evil Corp. llamado SocGholish para obtener un punto de apoyo inicial en las redes de las víctimas. SocGholish se distribuye en forma de archivo comprimido a través de al menos 150 sitios internet legítimos, pero anteriormente comprometidos.

El malware se disfraza como una actualización del navegador y sienta las bases para el perfil de la computadora. Los atacantes han estado usando PowerShell para descargar y ejecutar un cargador para Cobalt Strike Beacon, una herramienta de prueba de penetración que los atacantes suelen utilizar en campañas maliciosas.

La herramienta se está utilizando para ejecutar comandos, inyectar código malicioso en procesos o para suplantarlos, descargar archivos y realizar otras tareas que permiten a los atacantes escalar privilegios y obtener el command del sistema infectado. Al igual que con muchas campañas maliciosas actuales, los atacantes detrás de WastedLocker han aprovechado procesos y funciones legítimos, incluidos los scripts de PowerShell y la Utilidad de línea de comandos de instrumentación de administración de Windows (wmic dot exe) en su campaña, dijo Symantec.

Para implementar el ransomware, los atacantes han estado usando la herramienta PsExec de Home windows Sysinternals para lanzar una herramienta legítima de línea de comandos para administrar Windows Defender (mpcmdrun.exe). Esto desactiva la exploración de todos los archivos y archivos adjuntos descargados y desactiva la supervisión en tiempo actual, dijo Symantec. «Es posible que los atacantes usen más de una técnica para realizar esta tarea, ya que NCC informó el uso sospechoso de una herramienta llamada SecTool checker para este propósito», dijo Symantec.

El ransomware se implementa después de que Windows Defender y todos los servicios asociados se hayan detenido en toda la organización, señaló el proveedor. «Un ataque exitoso podría paralizar la crimson de la víctima, provocando una interrupción significativa en sus operaciones y una operación de limpieza costosa», advirtió Symantec.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia authentic