Las agencias de seguridad cibernética en los EE.UU y Canadá advirtieron este jueves que los actores de amenazas están utilizando nuevas variantes de malware TrueBot para robar datos de las víctimas.
En un aviso coescrito por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el FBI, el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) y el Centro Canadiense para la Seguridad Cibernética (CCCS), las organizaciones dijeron que tan recientemente como el 31 de mayo observaron un aumento en la actividad de TrueBot motivada financieramente.
Según las agencias, TrueBot es una botnet que ha sido utilizada por grupos como la pandilla de ransomware Clop para extraer datos de dispositivos infectados. El malware fue desarrollado al menos desde 2017 por un grupo de hackers de habla rusa conocido como Silence que estuvo involucrado en ataques de alto perfil contra instituciones financieras.
El malware se propaga tradicionalmente a través de archivos adjuntos de correo electrónico de phishing malicioso, pero las agencias dijeron que los actores de amenazas han cambiado sus tácticas y usan nuevas variantes que se basan en la explotación de una vulnerabilidad de ejecución remota de código (RCE) que afecta a la aplicación Netwrix Auditor. Según el sitio web de Netwrix, más de 13.000 organizaciones en más de 100 países utilizan el software de la empresa con sede en Texas para ayudar con la auditoría, la seguridad y el cumplimiento de TI.
“Según la confirmación de los informes de código abierto y los hallazgos analíticos de las variantes de Truebot, las organizaciones autoras evalúan que los actores de amenazas cibernéticas están aprovechando las campañas de phishing con hipervínculos de redireccionamiento maliciosos y CVE-2022-31199 [la vulnerabilidad de Netwrix] para ofrecer nuevas variantes de malware de Truebot,”, dijeron las agencias.
Los investigadores de ciberseguridad comenzaron a advertir sobre el aumento de la actividad de TrueBot poco después de que se revelara la vulnerabilidad de Netwrix Auditor a mediados de 2022. Los investigadores de Cisco Talos escribieron en diciembre que «notaron una pequeña cantidad de casos» en los que se ejecutó TrueBot después de que los piratas informáticos explotaran la vulnerabilidad de Netwrix, pero dijeron que era «poco probable que los atacantes lograran comprometer una gran cantidad de sistemas de esta manera».
Los investigadores de Talos dijeron que «comenzaron a ver un aumento más grande» en las víctimas un par de meses después, cuando los piratas informáticos comenzaron a usar el malware Raspberry Robin para entregar TrueBot a organizaciones principalmente en México, Brasil y Pakistán.
El aviso publicado el jueves no nombró víctimas específicas ni dijo cuántas organizaciones han sido atacadas. Las agencias publicaron detalles sobre cómo detectar el malware y mitigar sus efectos, incluida la aplicación de parches para la vulnerabilidad de Netwrix Auditor y la autenticación obligatoria de múltiples factores para todo el personal y los servicios.
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
