Los atacantes comprometieron docenas de sitios world wide web de noticias como …


El malware utilizado para descargar WastedLocker en las redes de destino se alojó en sitios world-wide-web legítimos que pertenecen a una empresa matriz, dice Symantec.

Los atacantes recientemente comprometieron a docenas de sitios website de periódicos estadounidenses que pertenecen a la misma empresa matriz y utilizaron los sitios para distribuir código malicioso para descargar ransomware en redes que pertenecen a organizaciones específicas en múltiples sectores.

Symantec dijo que varias de las principales organizaciones de EE. UU. Que se encontraron recientemente infectadas con el malware parecen haber sido comprometidas inicialmente cuando sus empleados visitaron uno de los sitios web de noticias.

La semana pasada, el proveedor de seguridad informó haber descubierto «SocGholish», un malware basado en JavaScript que se hace pasar por una actualización de software program, en redes que pertenecen a al menos 31 grandes clientes empresariales. Symantec señaló que un grupo con sede en Rusia llamado Evil Corp. está utilizando el malware como parte de una secuencia de ataque para descargar una nueva cepa de ransomware llamada WastedLocker en las redes objetivo.

Entre los clientes de Symantec afectados en la campaña se encuentran 11 organizaciones que cotizan en bolsa, incluidas ocho en la lista Fortune 500. Una pluralidad de víctimas se encuentran en el sector manufacturero, aunque las organizaciones de otras industrias también se vieron afectadas, incluidos los servicios financieros, la atención médica, la energía y el transporte. En cada caso, los ataques se detectaron y se detuvieron antes de que se desplegara el ransomware.

Si los ataques hubieran tenido éxito, las víctimas probablemente habrían perdido millones de dólares en tiempo de inactividad y daños. Los ataques también podrían haber tenido un efecto en cascada en la cadena de suministro de Estados Unidos, dijo Symantec. «El objetivo last de estos ataques es paralizar la infraestructura de TI de la víctima encriptando la mayoría de sus computadoras y servidores para exigir un rescate multimillonario», dijo el vendedor en su reporte la semana pasada.

Evil Corp. es un conocido actor de amenazas que se cree responsable de los ataques, incluidos los asociados con las muestras de ransomware Dridex y Zeus, que han costado a las víctimas cientos de millones de dólares en daños acumulados. Un tribunal federal de los Estados Unidos acusó el año pasado a dos miembros de la pandilla por cargos relacionados con sus campañas criminales de larga knowledge. Ambos permanecen en libertad, uno de ellos con una recompensa de US $ 5 millones en su cabeza.

En su reporte inicial (actualizado esta semana), Symantec dijo que sus investigadores habían descubierto al menos 150 sitios world-wide-web legítimos pero previamente pirateados que se usaban para alojar SocGholish y descargarlo en sistemas pertenecientes a los visitantes de estos sitios.

Según el vendedor, su investigación continua de la campaña mostró que docenas de los sitios world-wide-web comprometidos eran en realidad sitios de noticias pertenecientes a una empresa matriz. Symantec notificó a la organización el problema, y ​​desde entonces se eliminó el código malicioso. El hecho de que hasta 31 de los clientes empresariales de Symantec fueron atacados en los ataques sugiere que la campaña standard WastedLocker de Evil Corp. tiene un alcance muy amplio, señaló Symantec.

El Grupo NCC, que también ha estado siguiendo la campaña WastedLocker, lo describió como objetivo y comenzó en mayo de 2020. Según los investigadores de Symantec y el Grupo NCC, los atacantes de Evil Corp. han estado utilizando una combinación de herramientas personalizadas y legítimas. procesos y servicios para desplegar el ransomware para comunicarse con servidores de comando y control y moverse lateralmente en redes infectadas.

Las herramientas que se usan en la campaña incluyen scripts de PowerShell, la herramienta PsExec Windows Sysinternals y la Utilidad de línea de comandos de instrumentación de administración de Home windows (wmic dot exe), que se united states para deshabilitar el monitoreo y el escaneo en tiempo true de los archivos descargados. En muchos de los ataques, los actores de la amenaza han intentado deshabilitar Home windows Defender y los servicios asociados antes de implementar el ransomware.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse para este evento bajo demanda.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia unique