Economía

El nuevo ransomware utiliza un troyano bancario para atacar gobiernos y empresas

Un nuevo tipo de ataque de ransomware surgió en los últimos meses, levantando banderas rojas entre la comunidad de seguridad cibernética y autoridades como el FBI en los Estados Unidos. La firma de seguridad cibernética Group-IB advirtió que viene en forma de troyano, según un informe publicado el 17 de mayo.

Según el estudio del Grupo IB, el ransomware se conoce como ProLock y se basa en el troyano bancario Qakbot para lanzar el ataque y pide a los objetivos rescates en dólares de seis cifras pagados en BTC para descifrar los archivos.

La lista de víctimas incluye gobiernos locales, organizaciones financieras, de atención médica y minoristas. Entre ellos, el ataque que Group-IB considera más notable fue contra el proveedor de cajeros automáticos Diebold Nixdorf.

35 BTC como pago total en un ataque ProLock

El FBI detalló que el ataque ProLock inicialmente obtiene acceso a las redes de víctimas a través de correos electrónicos de phishing que a menudo entregan documentos de Microsoft Word. Qakbot luego interfiere con la configuración de un protocolo de escritorio remoto y roba credenciales de inicio de sesión para sistemas con autenticación de factor único.

Según Group-IB, los ataques de ransomware requieren un pago total de 35 BTC , por un valor de $ 337,750 al momento de la publicación. Sin embargo, un estudio de Bleeping Computer muestra que ProLock exige un promedio de $ 175,000 a $ 660,000 por ataque, dependiendo del tamaño de la red objetivo.

Hablando con Cointelegraph, Brett Callow, analista de amenazas en el laboratorio de malware Emsisoft, explicó algunos detalles sobre esta nueva amenaza cibernética:

“ProLock es inusual porque está escrito en ensamblado y desplegado usando Powershell y shellcode. El código malicioso se almacena en archivos XML, de video o de imagen. En particular, el descifrador ProLock suministrado por los delincuentes no funciona correctamente y daña los datos durante el proceso de descifrado ".

Callow agregó que aunque Emsisoft desarrolló un descifrador para recuperar los datos de las víctimas afectadas por ProLock sin pérdida, dicho software no elimina la necesidad de pagar el rescate, ya que depende de la clave suministrada por los delincuentes.

ProLock no filtra los datos robados

Aunque las técnicas utilizadas por los operadores de ProLock son similares a las de los grupos de ransomware conocidos que filtran datos robados como Sodinokibi y Maze, Group-IB aclaró lo siguiente:

"Sin embargo, a diferencia de sus pares, los operadores de ProLock todavía no tienen un sitio web donde publiquen datos extraídos de compañías que se niegan a pagar el rescate".

Últimos ataques de ransomware

Cointelegraph ha informado de varios ataques de ransomware en las últimas semanas.

El grupo de ransomware Maze afirmó el 19 de mayo haber pirateado al productor estadounidense de huevos Sparboe, filtrando información preliminar en un sitio web para demostrar que cometieron el ataque.

Una banda de ransomware llamada REvil recientemente amenazó con revelar casi 1TB de secretos legales privados de las estrellas de cine y música más grandes del mundo, como Lady Gaga, Elton John, Robert DeNiro, Madonna, entre otros.

Click to comment

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Lo más popular

To Top