De ataque con Malware a incidente de Ransomware 馃懞

Actualizado: hace 2 d铆as


El Ransomware hoy en d铆a, es una de las ciberamenazas m谩s importantes a nivel mundial ya que no solo compromete los activos digitales sino que tambi茅n la informaci贸n sensible y privada de las empresas que son v铆ctima, sin embargo, el Ransomware es el payload final y muchos de estos ataques provienen de una infecci贸n previa con Malware de distinto tipo como por ejemplo loaders, RAT o troyanos bancarios.


La imagen a continuaci贸n, re煤ne las distintas familias de Malware que podr铆an derivar a un incidente de Ransomware, comprometiendo la red y la informaci贸n corporativa.


A continuaci贸n, dejamos links de referencia que permiten relacionar cada una de estas amenazas e involucran adem谩s informaci贸n como la descripci贸n, IoCs, investigaciones, reportes, recursos, reglas de detecci贸n (Yara) y an谩lisis de incidentes entre otros.



1.- Buer -> Ryuk



2.- Emotet -> Trickbot -> Ryuk



3.- Trickbot -> Ryuk



4.- Trickbot -> Conti



5.- Vatet -> PyXie -> Defray777 / RansomEXX



6.- IcedID -> Vatet -> PyXie -> Defray777 / RansomEXX



7.- IcedID -> Egregor



8.- Qakbot -> Egregor



9.- Qakbot -> ProLock



10.- Qakbot -> MegaCortex



11.- Zloader -> Egregor



12.- Zloader -> Ryuk



13.- SDBBot -> Clop



14.- Dridex -> DoppelPaymer



15.- Dridex -> BitPaymer



16.- Gootkit -> REvil / Sodinokibi



17.- Phorpiex -> Avaddon



18.- Phorpiex -> Nemty



19.- BazarLoader / BazarBackdoor -> Ryuk



20.- BazarLoader / BazarBackdoor -> Conti



21.- DanaBot -> NonRansomware



22.- SmokeLoader -> Crysis / Dharma



BONUS


A continuaci贸n, dos de los frameworks m谩s utilizados por los actores de amenaza y grupos afiliados de Ransomware para la comunicaci贸n con los C&C (servidores de comando y control) y el movimiento lateral en la red v铆ctima.


Estos frameworks corresponden a herramientas para ejercicios de tests de penetraci贸n, sin embargo, son muy utilizadas en el flujo de ataques a objetivos de alto valor.



1.- Cobalt Strike -> Multiple Ransomware Families


https://thedfirreport.com/2020/10/18/ryuk-in-5-hours/ (18-09-2020)

https://thedfirreport.com/2020/08/31/netwalker-ransomware-in-1-hour/ (31-08-2020)

https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike



2.- Empire -> Multiple Ransomware Families


https://thedfirreport.com/2020/11/23/pysa-mespinoza-ransomware/ (23-11-2020)

https://malpedia.caad.fkie.fraunhofer.de/details/win.empire_downloader



NOTA: Un reporte similar a este se puede encontrar en https://www.zdnet.com/article/the-malware-that-usually-installs-ransomware-and-you-need-to-remove-right-away/ donde se confirman algunas de las amenazas aqu铆 se帽aladas.


La informaci贸n de este art铆culo se ira actualizando en la medida que se tengan nuevos antecedentes.


Conoce al enem铆go, mantente seguro.


Threat Intelligence Team,

CronUp Ciberseguridad

Entradas Recientes

Ver todo

CronUp nace con la misi贸n de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisi贸n de servicios a clientes y canales electr贸nicos expuestos a Internet.

Escr铆benos a

S铆guenos en

  • Icono social Twitter
  • Icono social LinkedIn
  • Facebook icono social