Los investigadores de una empresa de seguridad detectaron una nueva forma de ransomware después de ver que se usaba contra dos organizaciones diferentes.
Apodado Entropy, el nuevo ransomware ha sido detallado por investigadores de seguridad cibernética de Sophos, quienes lo descubrieron en las redes de dos organizaciones, una empresa de medios y un gobierno regional, luego de ser llamados para investigar los dos incidentes separados en el espacio de una semana.
Los atacantes comprometieron a la compañía de medios al explotar las vulnerabilidades de ProxyShell para instalar shells remotos en servidores de Microsoft Exchange sin parches, antes de usar Cobalt Strike, una herramienta de prueba de penetración legítima que a menudo explotan los ciberdelincuentes, para investigar la red durante un período de cuatro meses. El análisis de las máquinas infectadas también reveló que se había instalado el malware troyano Dridex.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Dridex también fue detectado en la red de la organización del gobierno regional. En este caso, Dridex se entregó directamente a través de un correo electrónico de phishing. Luego, el malware se usó para entregar malware adicional y acceso remoto. En este ataque, transcurrieron solo 75 horas entre el compromiso inicial y el robo de datos por parte de los ciberdelincuentes.
«Ambos estaban usando Dridex, y eso obviamente encendió algunas alarmas», dijo Peter Mackenzie, director de respuesta a incidentes de Sophos, a MarketingyPublicidad.es.
Dridex ha estado activo desde al menos 2011 y se convirtió en una herramienta popular para que los ciberdelincuentes distribuyan malware, ransomware y otras cargas maliciosas. En 2019, el Departamento de Justicia de EE. UU. anunció cargos contra dos ciudadanos rusos sospechosos de estar detrás de Dridex.
De hecho, al analizar Entropy, una nueva variante de ransomware, las herramientas de detección lo identificaron inicialmente como el propio Dridex debido a las similitudes en el código. No solo eso, sino que el análisis del malware mostró que se había realizado un trabajo adicional para optimizarlo.
El código actualizado también contiene texto que menciona el nombre de la organización objetivo, seguido de «… se desmorona. La entropía aumenta», que es una línea de la novela de John Green de 2005, Buscando a Alaska.
Dridex está vinculado a Evil Corp, una pandilla de ciberdelincuentes detrás de una serie de ataques de ransomware, implementando variantes que incluyen BitPaymer, DoppelPaymer, WastedLocker, Hades y Macaw ransomware. Sin embargo, también es posible que el código haya sido prestado o robado y esto podría ser un intento de desorientación por parte de otros ciberdelincuentes. La naturaleza del ecosistema de malware significa que es extremadamente difícil estar 100% seguro de la atribución.
Como señalan los investigadores, ambos objetivos tenían sistemas Windows vulnerables que carecían de parches y actualizaciones actuales, lo que les permitió verse comprometidos. Como es el caso con muchos ataques cibernéticos comunes, incluido el ransomware, parchear las redes con las actualizaciones de seguridad adecuadas puede ayudar mucho a evitar que los intrusos ingresen a la red en primer lugar, al igual que aplicar la autenticación de múltiples factores.
«En ambos casos, los atacantes se basaron en la falta de diligencia: ambos objetivos tenían sistemas Windows vulnerables que carecían de parches y actualizaciones actuales», dijo Sophos. Señaló que las máquinas correctamente parcheadas, como el servidor Exchange, habrían obligado a los atacantes a trabajar más duro para lograr su acceso inicial a las organizaciones en las que penetraron.
«Si hubiera existido un requisito para usar la autenticación de múltiples factores, habría creado más desafíos para que los usuarios no autorizados iniciaran sesión en esas u otras máquinas», señaló.
VER: Una estrategia ganadora para la ciberseguridad (Informe especial de MarketingyPublicidad.es)
Las organizaciones también pueden ayudar a prevenir ataques al monitorear activamente sus redes en busca de actividad sospechosa por parte de posibles intrusos, lo que podría indicar que algo debe investigarse y eliminarse.
«Seguirán intentándolo a menos que alguien los saque de la red. Simplemente seguirán intentándolo, por lo que debe tener un equipo de seguridad interno o externo que esté monitoreando su entorno y esté atento a estas señales de que alguien está en «, dijo Mackenzie.
“Si no apoya esas señales de advertencia, es solo cuestión de tiempo antes de que eventualmente ganen”, dijo.