Se han descubierto similitudes entre los Dridex<\/b> malware de prop\u00f3sito general y una cepa de ransomware poco conocida llamada entrop\u00eda<\/b>lo que sugiere que los operadores contin\u00faan renombrando sus operaciones de extorsi\u00f3n con un nombre diferente.<\/p>\n
“Las similitudes est\u00e1n en el paquete de software utilizado para ocultar el c\u00f3digo de ransomware, en las subrutinas de malware dise\u00f1adas para encontrar y ofuscar comandos (llamadas API) y en las subrutinas utilizadas para descifrar texto cifrado”, la empresa de ciberseguridad Sophos. dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n Los puntos en com\u00fan se descubrieron luego de dos incidentes no relacionados que tuvieron como objetivo a una empresa de medios no identificada y una agencia del gobierno regional. En ambos casos, el despliegue de Entropy estuvo precedido por la infecci\u00f3n de las redes objetivo con Cobalt Strike Beacons y Dridex, lo que otorg\u00f3 a los atacantes acceso remoto.<\/p>\n A pesar de la consistencia en algunos aspectos de los ataques gemelos, tambi\u00e9n variaron significativamente con respecto al vector de acceso inicial utilizado para abrirse camino dentro de las redes, la cantidad de tiempo que pasaron en cada uno de los entornos y el malware empleado para lanzar la fase final. de la invasi\u00f3n.<\/p>\n El ataque a la organizaci\u00f3n de medios utiliz\u00f3 el exploit ProxyShell para atacar un servidor Exchange vulnerable con el objetivo de instalar un shell web que, a su vez, se utiliz\u00f3 para difundir Cobalt Strike Beacons en la red. Se dice que el adversario pas\u00f3 cuatro meses realizando reconocimiento y robo de datos, lo que finalmente allan\u00f3 el camino para el ataque de ransomware a principios de diciembre de 2021.<\/p>\n El segundo ataque a la organizaci\u00f3n del gobierno regional, por otro lado, se facilit\u00f3 a trav\u00e9s de un archivo adjunto de correo electr\u00f3nico malicioso que conten\u00eda el malware Dridex, us\u00e1ndolo para implementar cargas \u00fatiles adicionales para el movimiento lateral.<\/p>\n En particular, la exfiltraci\u00f3n redundante de datos confidenciales a m\u00e1s de un proveedor de almacenamiento en la nube, en forma de archivos RAR comprimidos, ocurri\u00f3 dentro de las 75 horas posteriores a la detecci\u00f3n inicial de un intento de inicio de sesi\u00f3n sospechoso en una sola m\u00e1quina, antes de cifrar los archivos en las computadoras comprometidas. .<\/p>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Nuevo-malware-de-limpiaparabrisas-dirigido-a-Ucrania-en-medio-de.png\")
<\/a><\/div>\n
![\"Ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Malware-Dridex-que-implementa-Entropy-Ransomware-en-computadoras-pirateadas.jpeg\" "\\"Ransomware")
<\/td>\n<\/tr>\n![\"software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1645700663_376_Malware-Dridex-que-implementa-Entropy-Ransomware-en-computadoras-pirateadas.jpeg\" "\\"software")
<\/div>\n![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/1645691527_265_Nuevo-malware-de-limpiaparabrisas-dirigido-a-Ucrania-en-medio-de.png\")
<\/a><\/div>\n