Fueron creados para instalar Ransomwares, pero, algunos de estos malwares son tan letales que deben ser eliminados inmediatamente, lo que exige un escaneo completo dentro de las redes corporativas.<\/p>\n
El tono alarmista de la frase anterior no es una exageraci\u00f3n. Despu\u00e9s de todo, algunos ciberdelincuentes han llegado al nivel extremadamente devastador, al punto de exigir tanta atenci\u00f3n que es necesario detener todo y centrarse en c\u00f3mo eliminarlos.<\/p>\n
La raz\u00f3n es que los operadores de ransomware han avanzado much\u00edsimo. Han pasado de ser unas bandas amateurs de criminales malware a ser complejos c\u00e1rteles de ciberdelincuencia con habilidades, herramientas y presupuestos de lujo.<\/p>\n
Y es que, tienen asociaciones a varios niveles con otras operaciones de ciberdelincuencia. Llamados intermediarios de acceso inicial, estos grupos operan como una cadena de suministro para el submundo del crimen digital, proporcionando a las bandas criminales de ransomware acceso a grandes colecciones de sistemas comprometidos. Estos sistemas permiten a estas bandas acceder f\u00e1cilmente a las redes corporativas, encriptando archivos para exigir su rescate por diversos valores.<\/p>\n
Estos intermediarios de acceso inicial son una parte crucial del escenario de la ciberdelincuencia. En la actualidad, tres tipos de intermediarios se destacan como fuentes de la mayor\u00eda de los ataques de ransomware:<\/p>\n
Son los grupos delincuentes que realizan ataques de fuerza bruta contra estaciones de trabajo o servidores configurados para el acceso remoto RDP, que tambi\u00e9n se dejaron expuestos en Internet con credenciales d\u00e9biles. Luego, estos sistemas se venden en las llamadas \u00abtiendas RDP\u00bb, donde los equipos de ransomware suelen seleccionar sistemas que creen que se encuentran dentro de la red de su objetivo.<\/p>\n
Son los ciberdelincuentes que tambi\u00e9n est\u00e1n utilizando exploits de vulnerabilidades conocidas para tomar el control de los equipos de red de una empresa, como servidores VPN, firewalls u otros. El acceso a estos dispositivos y a las redes internas se vende en foros clandestinos o directamente a bandas criminales de ransomware.<\/p>\n
Muchas redes de bots de malware suelen buscar sistemas en redes corporativas para hackearlos. Luego venden el acceso a otras operaciones de ciberdelincuencia, incluidas las bandas criminales de ransomware.<\/p>\n
Usualmente, la forma m\u00e1s pr\u00e1ctica de evitar el ransomware es implementar m\u00e9todos de protecci\u00f3n contra estos tres tipos de vectores de acceso inicial. En otras palabras, m\u00e1s vale prevenir que lamentar. Sin embargo, aunque los \u00abescudos\u00bb contra los primeros 2 suelen consistir en buenas pol\u00edticas de contrase\u00f1as y en mantener los equipos actualizados, el tercer vector es m\u00e1s dif\u00edcil de proteger.<\/p>\n
El Motivo: Los operadores de redes de bots de malware se centran a menudo en la ingenier\u00eda social para enga\u00f1ar a los usuarios y hacer que instalen malware en sus sistemas sin saberlo, incluso si los ordenadores funcionan con software actualizado.<\/p>\n
Por eso, algunos de estos nombres se han distinguido recientemente en el mundo de la ciberdelincuencia, y se enumeran a continuaci\u00f3n. Si se detecta alguno de ellos, los administradores deben dejar de hacer lo que est\u00e1n haciendo, desconectar los sistemas y eliminar el malware. Al fin y al cabo, son demasiado peligrosos para permanecer en un segundo plano.<\/p>\n
Se le considera el botnet de malware m\u00e1s grande actualmente. Hay pocos casos en los que Emotet ha estado directamente involucrado con bandas criminales de ransomware, sin embargo, despu\u00e9s de que muchos ataques fueran rastreados, se descubri\u00f3 que eran infecciones de Emotet. Usualmente, Emotet vend\u00eda el acceso a los sistemas infectados a otras bandas de malware, que posteriormente vend\u00edan su propio acceso a las bandas de ransomware. Hoy en d\u00eda, su cadena de infecci\u00f3n de ransomware m\u00e1s com\u00fan envuelve a Trickbot y Ryuk.<\/p>\n
Es bastante parecido a Emotet. Infecta a sus propias v\u00edctimas, pero tambi\u00e9n es conocido por comprar el acceso a sistemas infectados previamente por Emotet para aumentar su potencial.
\nDurante los dos \u00faltimos a\u00f1os, los investigadores de seguridad han visto c\u00f3mo Trickbot vende el acceso de sus sistemas a bandas de ciberdelincuentes, que posteriormente desplegaron el ransomware Ryuk y el Conti.<\/p>\n
Actualmente se considera un backdoor modular desarrollado con enlaces de la banda principal de Trickbot. Independientemente de c\u00f3mo haya surgido, este grupo est\u00e1 siguiendo el modelo de Trickbot, y ya se ha asociado con equipos de ransomware para proporcionar acceso a los sistemas infectados por ellos. As\u00ed, el BazarLoader ha sido considerado como el punto de origen de las infecciones del ransomware Ryuk.<\/p>\n
Conocido por diversos nombres (como QakBot, Pinkslipbot, Qbot o Quakbot), a veces se le denomina dentro, de la comunidad de infoseguridad, como el Emotet lento. La raz\u00f3n es que suele hacer lo mismo que Emotet, pero con meses de diferencia (lo que no disminuye su potencial de causar da\u00f1os).<\/p>\n
Ya que la banda criminal Emotet estaba permitiendo que sus sistemas sean utilizados para desplegar ransomware, QakBot tambi\u00e9n cre\u00f3 asociaciones con diferentes grupos de ransomware. Primero con MegaCortex, luego con ProLock y actualmente con el grupo Egregor.<\/p>\n
Operado por un grupo de ciberdelincuentes conocido como TA505, est\u00e1 lejos de ser una cepa com\u00fan de malware. Por lo tanto, no debe subestimarse. Despu\u00e9s de todo, ya se ha visto como punto de origen de incidentes en los que se ha desplegado el ransomware Clop, causando da\u00f1o considerable a los infectados.<\/p>\n
Se trata de otra banda de troyanos bancarios que se ha reinventado y ha empezado a actuar como un \u201cdescargador de malware\u201d, siguiendo lo que hicieron Emotet y Trickbot hace a\u00f1os.<\/p>\n
Aunque en el pasado el botnet Dridex ha utilizado campa\u00f1as de spam para distribuir el ransomware Locky a usuarios aleatorios, en los \u00faltimos a\u00f1os tambi\u00e9n han utilizado los ordenadores infectados por ellos para lanzar las cepas de ransomware BitPaymer o DoppelPaymer, lo que ha dado lugar a ataques m\u00e1s espec\u00edficos contra objetivos de alto valor. En resumen, han decidido ser snipers centrados en acertar el tiro.<\/p>\n
En una r\u00e1pida y constante expansi\u00f3n, Zloader ya ha establecido asociaciones con los operadores de variedades de ransomware Egregor y Ryuk. Es considerado por los expertos como uno de los nombres con mayor capacidad de crecimiento, teniendo todo para entrar en el podio de los m\u00e1s peligrosos.<\/p>\n
Se trata de una operaci\u00f3n de malware que se puso en marcha el a\u00f1o pasado y que se ha labrado una respetable reputaci\u00f3n en el submundo de la ciberdelincuencia por asociarse con grupos de ransomware. En algunos incidentes en los que el ransomware Ryuk fue inicialmente el sospechoso, d\u00edas despu\u00e9s se descubri\u00f3 que estaba relacionado con las infecciones de Buer.<\/p>\n
Tambi\u00e9n llamado Trik, est\u00e1 entre los menores, pero no quiere decir que sea menos peligroso. Despu\u00e9s de todo, los ataques con el ransomware Avaddon vistos a principios de este a\u00f1o estaban asociados a Phorpiex. Aunque todav\u00eda no tienen fama, la mayor\u00eda de los expertos creen que deben ser tratados con el mismo nivel de atenci\u00f3n que Emotet, Trickbot, entre otros.<\/p>\n
De hecho, es una herramienta de pruebas de penetraci\u00f3n desarrollada para los investigadores de ciberseguridad, pero que tambi\u00e9n es utilizada por los equipos de malware.<\/p>\n
Las empresas no est\u00e1n directamente infectadas con CobaltStrike. Sin embargo, muchas bandas de ransomware despliegan componentes de CobaltStrike como parte de sus intrusiones, siendo un precursor del ataque de ransomware real.<\/p>\n
Por lo tanto, CobaltStrike ha sido incluido en esta lista, ya que puede ser tan peligroso como una cepa de malware real. Quien lo encuentre en su red, y no est\u00e9 realizando una prueba de penetraci\u00f3n, es una se\u00f1al de peligro. La misma regla se aplica a los dem\u00e1s: deje de hacer lo que est\u00e1 haciendo, desconecte los sistemas y no descanse hasta eliminarlos por completo.<\/p>\n","protected":false},"excerpt":{"rendered":"
Fueron creados para instalar Ransomwares, pero, algunos de estos malwares son tan letales que deben ser eliminados inmediatamente, lo que exige un escaneo completo dentro de las redes corporativas. El tono alarmista de la frase anterior no es una exageraci\u00f3n. Despu\u00e9s de todo, algunos ciberdelincuentes han llegado al nivel extremadamente devastador, al punto de exigir […]<\/p>\n","protected":false},"author":13,"featured_media":14862,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1019,1025],"tags":[1864,1918],"class_list":["post-15145","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-generico","category-noticias-es","tag-malware-es","tag-ransomware-es"],"yoast_head":"\n