Blog

TrickBot ha infectado a más de 140.000 maquinas en todo el mundo. ¿Viene el resurgimiento de Emotet?

Se tiene un estimado de que las operadores de la banda TrickBot han logrado comprometer a más de 140.000 maquinas en unos 149 países, poco más de un año después de que se intentara desmantelar su infraestructura, incluso cuando el avanzado troyano se está convirtiendo rápidamente en un punto de entrada principal para Emotet, otra botnet que fue retirada a principios de 2021, pero que actualmente se encuentra regresando con gran fuerza este último tiempo.

La mayoría de las víctimas detectadas desde el 1 de noviembre de 2020 proceden principalmente de Portugal (18%), Estados Unidos (14%) e India (5%), seguidos de Brasil (4%), Turquía (3%), Rusia (3%) y China (3%), señaló Check Point Research en un informe, siendo las entidades gubernamentales, financieras y manufactureras los principales verticales industriales afectados.

«Emotet es un fuerte indicador de futuros ataques de ransomware, ya que el malware proporciona a las bandas de ransomware una puerta trasera en las máquinas comprometidas«, dijeron los investigadores, que detectaron 223 campañas diferentes de Trickbot en el transcurso de los últimos seis meses.

Tanto TrickBot como Emotet son botnets, es decir, una red de dispositivos conectados a Internet que han sido infectados por un malware y a los que se les puede encomendar una serie de actividades maliciosas. TrickBot se originó como un troyano bancario, cuyo nacimiento viene como el sucesor del malware Dyre en 2016, con capacidad para robar información financiera, credenciales de cuentas y otras datas sensibles; se extendió lateralmente a través de una red; y dejó caer payloads adicionales, incluyendo las cepas de ransomware Conti, Diavol y Ryuk.

Se cree que TrickBot, difundido a través de campañas de spam o lanzado previamente por otro malware como Emotet, es obra de un grupo de actores de amenazas con sede en Rusia llamado Wizard Spider y, desde entonces, ha ampliado sus capacidades para crear un completo ecosistema de malware modular, lo que lo convierte en una amenaza adaptable y evolutiva, por no mencionar que es una herramienta atractiva para llevar a cabo un sinfín de ciberactividades ilegales.

Las botners también llamó la atención de entidades gubernamentales y privadas a finales del año pasado, cuando el Comando Cibernético de Estados Unidos y un grupo de socios del sector privado encabezados por Microsoft, ESET y Symantec actuaron para reducir el alcance de TrickBot e impedir que el adversario comprara o alquilara servidores C2.

Pero estas acciones sólo han sido contratiempos temporales, ya que los autores del malware han lanzado actualizaciones del código de la red de bots que la han hecho más resistente y adecuadas para montar nuevos ataques. Además, las infecciones de TrickBot en noviembre y diciembre de este año también han impulsado un aumento de infecciones del malware Emotet en las máquinas comprometidas, lo que indica un resurgimiento de la infame botnet después de un lapso de 10 meses, tras un esfuerzo coordinado de las fuerzas de seguridad para interrumpir su propagación en Internet.

Cómo siempre recomendamos a nuestros clientes, afiliados y usuarios, recomendamos el realizar acciones proactivas y el bloquear las direcciones IPs que son usados generalmente por estos actores de amenazas y mantenerse al día de todo lo que este ocurriendo en la red.

IOCs de Check Point Research:

24.162.214.166
45.36.99.184
60.51.47.65
62.99.76.213
82.159.149.52
97.83.40.67
103.105.254.17
184.74.99.214

IOCs de CronUp Ciberseguridad:

83.146.71.242
187.95.113.110
186.159.5.177
190.214.21.14
190.152.125.75
186.159.12.18
181.196.148.202
186.47.75.58
190.109.171.17
186.42.212.30
61.69.102.170
103.108.97.51
190.109.169.161
103.36.79.3
201.184.226.74
187.108.32.133
181.129.251.109
177.52.26.233
181.113.63.86
95.140.217.242
186.121.214.106
189.112.119.205
181.129.85.98
191.103.252.193
188.234.115.35
131.72.127.126
45.65.249.154
190.110.222.109
168.195.167.130
181.205.41.42
81.190.193.197
200.233.192.111
186.97.201.66
186.159.4.217
45.229.162.233
168.121.97.34
41.175.22.226
49.176.188.184
189.51.118.78

Más información

https://research.checkpoint.com/2021/when-old-friends-meet-again-why-emotet-chose-trickbot-for-rebirth/

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required