Recientemente, actores maliciosos comenzaron a utilizar publicidad maliciosa para difundir el ransomware BlackCat.. Utilizan páginas web clonadas de aplicaciones gratuitas populares, particularmente la utilidad WinSCP. Estas descargas provocan una cadena de infección., que consta de un gotero, una puerta trasera, y, finalmente, el ransomware.
Operadores que distribuyen ransomware disfrazado de WinSCP
Los investigadores reconocieron que los operadores de BlackCat estaban utilizando anuncios maliciosos para distribuir instaladores fraudulentos de aplicaciones de transferencia de archivos WinSCP. En este caso, la distribución involucró una página web para la conocida aplicación WinSCP, una aplicación de transferencia de archivos de Windows de código abierto. En una palabra, Los atacantes utilizan el envenenamiento de SEO para difundir malware a través de anuncios en línea.. Secuestran un conjunto selecto de palabras clave para mostrar anuncios de sitios de phishing en las páginas de resultados de búsqueda de Bing y Google.. Estos anuncios redirigen a los usuarios desprevenidos a una copia de phishing de la página web original..
De este modo, Los estafadores intentan hacer que los usuarios descargar el malware disfrazado de aplicación legítima. Sin embargo, la víctima obtiene una puerta trasera que contiene una baliza de ataque de cobalto en lugar de una aplicación WinSCP legítima. La puerta de atrás, a su vez, se conecta a un servidor remoto para operaciones posteriores. También utiliza herramientas legítimas como AdFind para facilitar el descubrimiento de redes.. Los atacantes utilizan el acceso otorgado por Cobalt Strike para descargar programas para realizar reconocimientos, contando, movimiento lateral, elusión del software antivirus, y exfiltración de datos. Esa táctica tiene como objetivo infectar a los usuarios corporativos. – un enfoque bastante singular cuando se trata de métodos de propagación de ransomware.
Según los investigadores, los atacantes lograron robar privilegios de administrador de nivel superior, lo que les permitió realizar acciones post-explotación. Además, Intentaron configurar la persistencia con herramientas de administración remota como AnyDesk y obtener acceso a servidores de respaldo.. Desgraciadamente, Este no es un caso aislado sino más bien una tendencia.. We’ve already told you cómo los atacantes utilizan la plataforma Google Ads para difundir malware.
¿Qué es el ransomware BlackCat??
BlackCat es una cepa de malware peligrosa que surgió en noviembre 2021. esta operado por un grupo de cibercrimen de habla rusa llamado ALPHV. Es el primer malware importante escrito en el lenguaje de programación Rust y puede atacar Sistemas Windows y Linux. BlackCat utiliza una táctica de triple extorsión en sus campañas de ransomware, dirigido a diversas industrias, incluyendo finanzas, fabricación, y servicios legales. Se ha comprometido alrededor 200 organizaciones empresariales entre noviembre 2021 y septiembre 2022 y está relacionado con otras variantes de ransomware como BlackMatter y DarkSide.
La pandilla BlackCat es conocida por ser bastante radical cuando se trata de fugas de datos.. Una vez que la empresa que atacaron se niega a pagar, Los piratas informáticos abren el acceso a todos los datos extraídos.. Y a diferencia de otras bandas de ransomware, ALPHV/BlackCat hace esto on the clear web website. En el año pasado, expusieron a una gran cantidad de personas al publicar datos extraídos de Allison Resort y University of Pisa.
Recomendaciones generales
En cuanto a la protección a nivel de organización, hay todo un conjunto de recomendaciones que las organizaciones que se preocupan por la seguridad para sí mismas y sus clientes dan por sentado. Una comprensión detallada de los escenarios de ataque permite a las organizaciones identificar vulnerabilidades. que pueden conducir a compromisos y daños críticos y tomar las medidas necesarias para evitarlos.. Sin embargo, ¿Qué pasa con los usuarios individuales?? Aquí te recomendamos seguir estos sencillos pero efectivos consejos.:
- Tenga mucho cuidado al buscar y descargar programas necesarios de Internet.
- No haga clic en enlaces publicitarios en la página de búsqueda..
- Utilice bloqueadores de publicidad
- Usar un programa antimalware confiable
Seguir estas reglas minimizará las posibilidades de comprometer computadoras personales y estaciones de trabajo., o dispositivos corporativos.
