Blog

Los operadores de TrickBot se asocian con Shathak para las operaciones de CONTI Ransomware

Los operadores de TrickBot están colaborando con el grupo de amenazas llamado Shathak para distribuir sus «mercancías», lo que en última instancia conduce al despliegue de Conti Ransomware en las máquinas infectadas.

«La implementación de TrickBot ha evolucionado a lo largo de los años, con versiones recientes de TrickBot que implementan capacidades de carga de malware», afirman los analistas de seguridad de Cybereason Aleksandar Milenkoski y Eli Salem en un informe que analiza las recientes campañas de distribución de malware emprendidas por el grupo. «TrickBot ha desempeñado un papel importante en muchas campañas de ataque llevadas a cabo por diferentes actores de amenazas, desde ciberdelincuentes comunes hasta actores de estados nacionales«.

El último informe se basa en lo publicado por IBM X-Force del mes pasado, el cual revela las asociaciones de TrickBot con otras bandas de ciberdelincuentes, incluida Shathak, para distribuir malwares propios. Shathak, también rastreado bajo el nombre de TA551, es un sofisticado actor de la ciberdelincuencia que se dirige a los usuarios finales a escala mundial, actuando como distribuidor de malware mediante el uso de archivos ZIP protegidos por contraseña que contienen documentos de Office con macros.

TrickBot, también conocida como ITG23 o Wizard Spider, también es responsable de desarrollar y mantener las actividades de infección de Conti, además de alquilar el acceso al software malicioso a los afiliados a través de un modelo de ransomware-as-a-Services (RaaS).

Las cadenas de infección en las que participa Shathak suelen consistir en el envío de correos electrónicos de phishing con documentos de Word repletos de malware que, en última instancia, conducen al despliegue del malware TrickBot o BazarBackdoor, que luego se utiliza como conducto para desplegar las balizas de Cobalt Strike, así como el Payload del ransomware, no sin antes llevar a cabo actividades de reconocimiento, movimiento lateral, robo de credenciales y exfiltración de datos.

Los investigadores de Cybereason dijeron que observaron una media de tiempo hasta el rescate de dos días después de los compromisos, lo que denota la cantidad de tiempo desde que el actor de la amenaza obtiene el acceso inicial a una red hasta el momento en que el actor de la amenaza realmente despliega el ransomware.

Los resultados también se producen cuando la Agencia de Seguridad de la Infraestructura y la Ciberseguridad de Estados Unidos (CISA) y la Oficina Federal de Investigación (FBI) informaron de que hasta septiembre de 202,1 se habían producido no menos de 400 ataques de Conti, dirigidos a organizaciones estadounidenses e internacionales.

Para asegurar los sistemas contra Conti, las agencias recomiendan aplicar una serie de medidas de mitigación, incluyendo «requerir la autenticación de múltiples factores (MFA), implementar la segmentación de la red y mantener los sistemas operativos y el software actualizados.«.

Más información

https://us-cert.cisa.gov/ncas/alerts/aa21-265a

https://www.cybereason.com/blog/what-is-ransomware-as-a-service-and-how-does-it-work

https://www.cybereason.com/blog/threat-analysis-report-from-shatak-emails-to-the-conti-ransomware

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required