Interesante artículo publicado por nuestros compañeros de Trend Micro. Una nueva variante de este «Locker» está comenzando a aparecer. Método de infección a través de correo electrónico y cuentas de Dropbox.
Traducción Google:
El TorrentLocker ransomware, que ha estado en un momento de calma en los últimos tiempos, ha llegado recientemente de vuelta con nuevas variantes (detectado por Trend Micro como RANSOM_CRYPTLOCK.DLFLVV, RANSOM_CRYPTLOCK.DLFLVW, RANSOM_CRYPTLOCK.DLFLVS y RANSOM_CRYPTLOCK.DLFLVU). Estas nuevas variantes están utilizando un mecanismo de entrega que utiliza cuentas de Dropbox abusadas. Este nuevo tipo de ataque es de acuerdo con nuestra predicción 2017 que ransomware seguiría evolucionando más allá de los vectores de ataque habituales.
TorrentLocker ha seguido siendo activa más allá de su punto más alto, con sus bajas tasas de detección que permite a los ciberdelincuentes detrás de él para trabajar detrás de las escenas mientras continúan los ataques contra víctimas involuntarias.
Un viejo conocido en un nuevo disfraz
Las nuevas variantes TorrentLocker tienen un comportamiento similar a los ejemplos anteriores detectados por nosotros, con los cambios primarios siendo su nuevo método de distribución y la forma en que el propio ejecutable malicioso se envasa.
Un ejemplo del nuevo ataque TorrentLocker comienza con un correo electrónico que dice ser una factura de un proveedor de la organización en la que trabaja la víctima. La «factura» en sí no viene como un archivo adjunto de correo electrónico, pero en su lugar se accede a través de un enlace de Dropbox que contiene texto que hace referencia facturas, facturas o números de cuenta para hacer que parezca auténtica. El uso de Dropbox como un enlace URL permite TorrentLocker para evadir los sensores de puerta de enlace ya que no hay apego y el vínculo es de un sitio web legítimo.
Figura 1: Ejemplo de un correo electrónico de phishing TorrentLocker
Una vez que el usuario hace clic en el enlace, un archivo JavaScript (JS_NEMUCOD) disfrazado como el documento de factura se descargará en el ordenador de la víctima. Cuando el usuario intenta abrir la factura falsa, otro archivo JavaScript ofuscado se descargará en la memoria, después de lo cual será descargado y ejecutado en el sistema de la carga útil TorrentLocker.
Una característica notable de las nuevas variantes TorrentLocker es que se empaquetan como instaladores NSIS para evitar la detección, una técnica usada también por otro ransomware prominente como CERBER, Locky, SAGE y SPORA.
Alcance de ataques
A partir de febrero 26 hasta marzo 6, 2017 nuestra Red de Protección Inteligente detecta 54.688 correos electrónicos no deseados que incluyen URL que van a 815 cuentas de DropBox diferentes. La mayor parte de este ataque se produjo en Europa, con Alemania y Noruega tomando el porcentaje más grande. Los ataques en Noruega alcanzó su punto máximo durante el final de febrero, pero gradualmente cambió a Alemania a principios de marzo. Autores del ransomware se quitó el mayor número de ataques durante los días de la semana con un período de calma durante los fines de semana. Descubrimos un aumento significativo en las infecciones en aproximadamente 9 a 10 de la mañana, coincidiendo con el inicio de los trabajos el día más probable de los empleados de cheques sus correos electrónicos diarios por primera vez. Las organizaciones utilizan comúnmente Dropbox para gestionar y transferir sus archivos, que pueden dar lugar a los empleados confiados conseguir engañado en la creencia de que la URL contenida en el correo electrónico es legítimo.
Figura 2: línea de tiempo que muestra las horas pico de los ataques
Figura 3: Distribución de los ataques
Actualmente estamos trabajando con Dropbox en este tema. De acuerdo con el equipo de seguridad de Dropbox, todos los archivos detectados en el momento de la publicación han sido derribados y sus respectivos usuarios prohibido.
atenuante TorrentLocker
Dado el carácter engañoso de la nueva TorrentLocker y otra ransomware Asimismo, las organizaciones deben tomar medidas adicionales para asegurarse de que están protegidos de este tipo de ataques de ingeniería social. La prioridad número uno debe ser educar a sus empleados sobre las mejores prácticas contra los ataques de phishing , que incluye la comprobación de cualquier correo electrónico de contenido sospechoso, como el nombre para mostrar del remitente o cualquier URL que no coinciden. De hecho, los usuarios finales deben ser advertidos de que se abstengan de descarga de archivos adjuntos o hacer clic en los enlaces incorporados en general, a menos que sean absolutamente seguros de que se trata de una fuente legítima.
Los usuarios también deben tomar medidas para asegurarse de que sus datos están respaldados por la aplicación de la política de copia de seguridad 3-2-1 , lo que implica ahorro de al menos tres copias de los datos, con dos copias en diferentes tipos de almacenamiento, de preferencia en un drive-interno y extraíble y una copia fuera del sitio.
Soluciones de Trend Micro
Además de las mejores prácticas se sugirió anteriormente, los clientes de Trend Micro pueden utilizar las siguientes soluciones para mitigar las amenazas más ransomware como TorrentLocker:
Al abordar este tipo de amenazas, reaccionar a medida que ocurren no es suficiente. La planificación estratégica y un enfoque proactivo de varias capas a la seguridad va un largo camino, desde el gateway , puntos finales , redes y servidores .
Trend Micro OfficeScan ™ con XGen seguridad de punto final ™ combina el aprendizaje automático y análisis de comportamiento con los enfoques tradicionales para identificar y bloquear ransomware. Hemos probado estas tecnologías en el malware se describe en este post y encontrado que son soluciones proactivas eficaces.
Trend Micro ™ Nube aplicación de seguridad ofrece protección contra malware avanzado para las cuentas de Dropbox de negocios incluyendo TorrentLocker. Nube Aplicación de Seguridad investiga el comportamiento de los archivos sospechosos mediante la detonación de una caja de arena virtual, no sólo a través de la comparación de patrones estáticos. Aprovecha demostrado Trend Micro ™ profundo descubrimiento tecnología de caja de arena ™, el cual fue calificado como sistema más eficaz de detección de incumplimiento recomendada por NSS Labs
Trend Micro soluciones de punto final como Trend Micro ™ Smart Protection Suites y Worry-Free ™ Business Security puede proteger a los usuarios y las empresas de estas amenazas mediante la detección de archivos maliciosos, y los mensajes afectados incoar, así como el bloqueo de todas las URL maliciosas relacionadas Trend Micro profundo descubrimiento ™ tiene una capa de inspección de correo electrónico que pueden proteger a las empresas mediante la detección de adjuntos maliciosos y direcciones URL.
clientes TippingPoint están protegidos de esta amenaza a través de estos filtros MainlineDV:
- 21354: TLS: certificado SSL SSL ABUSE.CH lista negra malicioso detectado (TorrentLocker CNC)
- 30623: TLS: Certificado SSL sospechoso (DGA)
Con un análisis adicional de Anthony Melgarejo
Los siguientes valores hash SHA256 estaban involucrados en este ataque:
- 0d27f890c38435824f64937aef1f81452cb951c8f90d6005cc7c46cb158e255f (detectado por Trend Micro como JS_NEMUCOD.THCOF)
- 1a06e44df2fcf39471b7604695f0fc81174874219d4226d27ef4453ae3c9614b (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVV)
- aa4a0dde592488e88143028acdb8f035eb0453f265efeeebba316a6afe3e2b73 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVV)
- 5149f7d17d9ca687c2e871dc32e968f1e80f2a112c574663c95cca073283fc27 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVW)
- efcc468b3125fbc5a9b1d324edc25ee3676f068c3d2abf3bd845ebacc274a0ff (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVU)
- 287ebf60c34b4a18e23566dbfcf5ee982d3bace22d148b33a27d9d1fc8596692 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVU)
- ddac25f45f70af5c3edbf22580291aebc26232b7cc4cc37b2b6e095baa946029 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVU)
- 1ffb16211552af603a6d13114178df21d246351c09df9e4a7a62eb4824036bb6 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS)
- 1a9dc1cb2e972841aa6d7908ab31a96fb7d9256082b422dcef4e1b41bfcd5243 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS)
- 028b3b18ef56f02e73eb1bbc968c8cfaf2dd6504ac51c681013bcf8e6531b2fc (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS)
- 98aad54148d12d6d9f6cab44974e3fe8e1175abc87ff5ab10cc8f3db095c3133 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS)
- f914b02c6de92d6bf32654c53b4907d8cde062efed4f53a8b1a7b73f7858cb11 (detectado por Trend Micro como Ransom_CRYPTLOCK.DLFLVS
Latest posts by Jose Miguel (see all)
- Artículo: Guía completa de seguridad en el uso de redes Wi-Fi en entornos empresariales y públicos. - 23 septiembre, 2024
- Artículo: Cómo reaccionar ante un ataque de Phishing: Guía para Usuarios Empresariales - 20 septiembre, 2024
- Artículo: Guía básica para la gestión de contraseñas y usuarios en navegadores populares. - 20 septiembre, 2024
- Artículo: La importancia de las copias de seguridad en la ámbito empresarial: Guía Práctica. - 18 septiembre, 2024
- Artículo: Mejorando la ciberseguridad en el entorno laboral: Guía práctica para Empleados. - 16 septiembre, 2024