Se tiene un estimado de que las operadores de la banda TrickBot han logrado comprometer a más de 140.000 maquinas en unos 149 países, poco más de un año después de que se intentara desmantelar su infraestructura, incluso cuando el avanzado troyano se está convirtiendo rápidamente en un punto de entrada principal para Emotet, otra botnet que fue retirada a principios de 2021, pero que actualmente se encuentra regresando con gran fuerza este último tiempo.
La mayoría de las víctimas detectadas desde el 1 de noviembre de 2020 proceden principalmente de Portugal (18%), Estados Unidos (14%) e India (5%), seguidos de Brasil (4%), Turquía (3%), Rusia (3%) y China (3%), señaló Check Point Research en un informe, siendo las entidades gubernamentales, financieras y manufactureras los principales verticales industriales afectados.
«Emotet es un fuerte indicador de futuros ataques de ransomware, ya que el malware proporciona a las bandas de ransomware una puerta trasera en las máquinas comprometidas«, dijeron los investigadores, que detectaron 223 campañas diferentes de Trickbot en el transcurso de los últimos seis meses.
Tanto TrickBot como Emotet son botnets, es decir, una red de dispositivos conectados a Internet que han sido infectados por un malware y a los que se les puede encomendar una serie de actividades maliciosas. TrickBot se originó como un troyano bancario, cuyo nacimiento viene como el sucesor del malware Dyre en 2016, con capacidad para robar información financiera, credenciales de cuentas y otras datas sensibles; se extendió lateralmente a través de una red; y dejó caer payloads adicionales, incluyendo las cepas de ransomware Conti, Diavol y Ryuk.
Se cree que TrickBot, difundido a través de campañas de spam o lanzado previamente por otro malware como Emotet, es obra de un grupo de actores de amenazas con sede en Rusia llamado Wizard Spider y, desde entonces, ha ampliado sus capacidades para crear un completo ecosistema de malware modular, lo que lo convierte en una amenaza adaptable y evolutiva, por no mencionar que es una herramienta atractiva para llevar a cabo un sinfín de ciberactividades ilegales.
Las botners también llamó la atención de entidades gubernamentales y privadas a finales del año pasado, cuando el Comando Cibernético de Estados Unidos y un grupo de socios del sector privado encabezados por Microsoft, ESET y Symantec actuaron para reducir el alcance de TrickBot e impedir que el adversario comprara o alquilara servidores C2.
Pero estas acciones sólo han sido contratiempos temporales, ya que los autores del malware han lanzado actualizaciones del código de la red de bots que la han hecho más resistente y adecuadas para montar nuevos ataques. Además, las infecciones de TrickBot en noviembre y diciembre de este año también han impulsado un aumento de infecciones del malware Emotet en las máquinas comprometidas, lo que indica un resurgimiento de la infame botnet después de un lapso de 10 meses, tras un esfuerzo coordinado de las fuerzas de seguridad para interrumpir su propagación en Internet.
Cómo siempre recomendamos a nuestros clientes, afiliados y usuarios, recomendamos el realizar acciones proactivas y el bloquear las direcciones IPs que son usados generalmente por estos actores de amenazas y mantenerse al día de todo lo que este ocurriendo en la red.
IOCs de Check Point Research:
24.162.214.166
45.36.99.184
60.51.47.65
62.99.76.213
82.159.149.52
97.83.40.67
103.105.254.17
184.74.99.214
IOCs de CronUp Ciberseguridad:
83.146.71.242
187.95.113.110
186.159.5.177
190.214.21.14
190.152.125.75
186.159.12.18
181.196.148.202
186.47.75.58
190.109.171.17
186.42.212.30
61.69.102.170
103.108.97.51
190.109.169.161
103.36.79.3
201.184.226.74
187.108.32.133
181.129.251.109
177.52.26.233
181.113.63.86
95.140.217.242
186.121.214.106
189.112.119.205
181.129.85.98
191.103.252.193
188.234.115.35
131.72.127.126
45.65.249.154
190.110.222.109
168.195.167.130
181.205.41.42
81.190.193.197
200.233.192.111
186.97.201.66
186.159.4.217
45.229.162.233
168.121.97.34
41.175.22.226
49.176.188.184
189.51.118.78
Más información
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
