Los operadores de TrickBot están colaborando con el grupo de amenazas llamado Shathak para distribuir sus «mercancías», lo que en última instancia conduce al despliegue de Conti Ransomware en las máquinas infectadas.
«La implementación de TrickBot ha evolucionado a lo largo de los años, con versiones recientes de TrickBot que implementan capacidades de carga de malware», afirman los analistas de seguridad de Cybereason Aleksandar Milenkoski y Eli Salem en un informe que analiza las recientes campañas de distribución de malware emprendidas por el grupo. «TrickBot ha desempeñado un papel importante en muchas campañas de ataque llevadas a cabo por diferentes actores de amenazas, desde ciberdelincuentes comunes hasta actores de estados nacionales«.
El último informe se basa en lo publicado por IBM X-Force del mes pasado, el cual revela las asociaciones de TrickBot con otras bandas de ciberdelincuentes, incluida Shathak, para distribuir malwares propios. Shathak, también rastreado bajo el nombre de TA551, es un sofisticado actor de la ciberdelincuencia que se dirige a los usuarios finales a escala mundial, actuando como distribuidor de malware mediante el uso de archivos ZIP protegidos por contraseña que contienen documentos de Office con macros.
TrickBot, también conocida como ITG23 o Wizard Spider, también es responsable de desarrollar y mantener las actividades de infección de Conti, además de alquilar el acceso al software malicioso a los afiliados a través de un modelo de ransomware-as-a-Services (RaaS).
Las cadenas de infección en las que participa Shathak suelen consistir en el envío de correos electrónicos de phishing con documentos de Word repletos de malware que, en última instancia, conducen al despliegue del malware TrickBot o BazarBackdoor, que luego se utiliza como conducto para desplegar las balizas de Cobalt Strike, así como el Payload del ransomware, no sin antes llevar a cabo actividades de reconocimiento, movimiento lateral, robo de credenciales y exfiltración de datos.
Los investigadores de Cybereason dijeron que observaron una media de tiempo hasta el rescate de dos días después de los compromisos, lo que denota la cantidad de tiempo desde que el actor de la amenaza obtiene el acceso inicial a una red hasta el momento en que el actor de la amenaza realmente despliega el ransomware.
Los resultados también se producen cuando la Agencia de Seguridad de la Infraestructura y la Ciberseguridad de Estados Unidos (CISA) y la Oficina Federal de Investigación (FBI) informaron de que hasta septiembre de 202,1 se habían producido no menos de 400 ataques de Conti, dirigidos a organizaciones estadounidenses e internacionales.
Para asegurar los sistemas contra Conti, las agencias recomiendan aplicar una serie de medidas de mitigación, incluyendo «requerir la autenticación de múltiples factores (MFA), implementar la segmentación de la red y mantener los sistemas operativos y el software actualizados.«.
Más información
https://us-cert.cisa.gov/ncas/alerts/aa21-265a
https://www.cybereason.com/blog/what-is-ransomware-as-a-service-and-how-does-it-work
https://www.cybereason.com/blog/threat-analysis-report-from-shatak-emails-to-the-conti-ransomware
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
