{"id":646500,"date":"2023-02-27T17:08:43","date_gmt":"2023-02-27T17:08:43","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-comparten-nuevos-conocimientos-sobre-las-operaciones-del-malware-rig-exploit-kit\/"},"modified":"2023-02-27T17:08:45","modified_gmt":"2023-02-27T17:08:45","slug":"los-investigadores-comparten-nuevos-conocimientos-sobre-las-operaciones-del-malware-rig-exploit-kit","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-comparten-nuevos-conocimientos-sobre-las-operaciones-del-malware-rig-exploit-kit\/","title":{"rendered":"Los investigadores comparten nuevos conocimientos sobre las operaciones del malware RIG Exploit Kit"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El kit de explotaci\u00f3n RIG (EK) alcanz\u00f3 una tasa de explotaci\u00f3n exitosa hist\u00f3ricamente alta de casi el 30% en 2022, revelan nuevos hallazgos.<\/p>\n<p>&#8220;RIG EK es un programa motivado financieramente que ha estado activo desde 2014&#8221;, empresa suiza de ciberseguridad PRODAFT <a rel=\"nofollow noopener\" href=\"https:\/\/www.prodaft.com\/resource\/detail\/rig-rig-exploit-kit-depth-analysis\" target=\"_blank\">dicho<\/a> en un informe exhaustivo compartido con The Hacker News.<\/p>\n<p>&#8220;Aunque a\u00fan tiene que cambiar sustancialmente sus exploits en su actividad m\u00e1s reciente, el tipo y la versi\u00f3n del malware que distribuyen cambia constantemente. La frecuencia de actualizaci\u00f3n de muestras var\u00eda de actualizaciones semanales a diarias&#8221;.<\/p>\n<p>Los kits de explotaci\u00f3n son programas que se utilizan para distribuir malware a un gran n\u00famero de v\u00edctimas aprovechando las fallas de seguridad conocidas en el software de uso com\u00fan, como los navegadores web.<\/p>\n<p>El hecho de que <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/rig-exploit-kit-diving-deeper-into-the-infrastructure\/\" target=\"_blank\">Aparejo EK<\/a> se ejecuta como un modelo de servicio significa que los actores de amenazas pueden compensar financieramente al administrador de RIG EK por instalar el malware de su elecci\u00f3n en las m\u00e1quinas de las v\u00edctimas.  Los operadores de RIG EK emplean principalmente publicidad maliciosa para garantizar una alta tasa de infecci\u00f3n y una cobertura a gran escala.<\/p>\n<p>Como resultado, los visitantes que utilizan una versi\u00f3n vulnerable de un navegador para acceder a una p\u00e1gina web controlada por un actor o a un sitio web comprometido pero leg\u00edtimo son redirigidos mediante un c\u00f3digo JavaScript malicioso a un servidor proxy que, a su vez, se comunica con un servidor de explotaci\u00f3n para entregar el exploit de navegador apropiado.<\/p>\n<p>El servidor de exploits, por su parte, detecta el navegador del usuario analizando la cadena User-Agent y devuelve el exploit que &#8220;coincide con las versiones de navegador vulnerables predefinidas&#8221;.<\/p>\n<p>&#8220;El ingenioso dise\u00f1o del Exploit Kit le permite infectar dispositivos con poca o ninguna interacci\u00f3n por parte del usuario final&#8221;, dijeron los investigadores.  &#8220;Mientras tanto, su uso de servidores proxy hace que las infecciones sean m\u00e1s dif\u00edciles de detectar&#8221;.<\/p>\n<p>Desde que apareci\u00f3 en escena en 2014, se ha observado que RIG EK ofrece una amplia gama de troyanos financieros, ladrones y ransomware, como <a rel=\"nofollow noopener\" href=\"https:\/\/www.malware-traffic-analysis.net\/2018\/01\/30\/index.html\" target=\"_blank\">AZORult<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/unit42-cryptobit-another-ransomware-family-gets-an-update\/\" target=\"_blank\">Bit criptogr\u00e1fico<\/a>, Dridex, Ladr\u00f3n de mapaches y WastedLoader.  La operaci\u00f3n fue <a rel=\"nofollow noopener\" href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/rig-exploit-kit-suffers-major-blow-following-coordinated-takedown-action\/\" target=\"_blank\">dio un gran golpe<\/a> en 2017 tras una actuaci\u00f3n coordinada que desmantel\u00f3 su infraestructura.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1677517723_539_Los-investigadores-comparten-nuevos-conocimientos-sobre-las-operaciones-del-malware.png\" alt=\"Kit de explotaci\u00f3n RIG\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"Kit de explotaci\u00f3n RIG\"\/><\/div>\n<p>Las campa\u00f1as recientes de RIG EK se han centrado en una vulnerabilidad de corrupci\u00f3n de memoria que afecta a Internet Explorer (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-26411\" target=\"_blank\">CVE-2021-26411<\/a>puntaje CVSS: 8.8) para implementar RedLine Stealer.<\/p>\n<p>Otras fallas del navegador armadas por el malware incluyen <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2013-2551\" target=\"_blank\">CVE-2013-2551<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2014-6332\" target=\"_blank\">CVE-2014-6332<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-0313\" target=\"_blank\">CVE-2015-0313<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2015-2419\" target=\"_blank\">CVE-2015-2419<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2016-0189\" target=\"_blank\">CVE-2016-0189<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2018-8174\" target=\"_blank\">CVE-2018-8174<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-0752\" target=\"_blank\">CVE-2019-0752<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2020-0674\" target=\"_blank\">CVE-2020-0674<\/a>.<\/p>\n<p>Seg\u00fan datos recabados por PRODAFT, el 45% de las infecciones exitosas en 2022 apalancaron CVE-2021-26411, seguido de CVE-2016-0189 (29%), CVE-2019-0752 (10%), CVE-2018-8174 ( 9%), y CVE-2020-0674 (6%).<\/p>\n<p>Adem\u00e1s de Dridex, Raccoon y RedLine Stealer, algunas de las familias de malware notables que se distribuyen mediante RIG EK son SmokeLoader, PureCrypter, IcedID, ZLoader, TrueBot, Ursnif y Royal ransomware.<\/p>\n<p>Adem\u00e1s, se dice que el kit de explotaci\u00f3n atrajo tr\u00e1fico de 207 pa\u00edses, reportando una tasa de \u00e9xito del 22% solo en los \u00faltimos dos meses.  La mayor cantidad de compromisos se encuentran en Rusia, Egipto, M\u00e9xico, Brasil, Arabia Saudita, Turqu\u00eda y varios pa\u00edses de Europa.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1677517723_174_Los-investigadores-comparten-nuevos-conocimientos-sobre-las-operaciones-del-malware.png\" alt=\"Kit de explotaci\u00f3n RIG\" border=\"0\" data-original-height=\"467\" data-original-width=\"728\" title=\"Kit de explotaci\u00f3n RIG\"\/><\/div>\n<p>&#8220;Curiosamente, las tasas de intentos de explotaci\u00f3n fueron las m\u00e1s altas los martes, mi\u00e9rcoles y jueves, y las infecciones exitosas tuvieron lugar los mismos d\u00edas de la semana&#8221;, explicaron los investigadores.<\/p>\n<p>PRODAFT, que tambi\u00e9n logr\u00f3 obtener visibilidad en el panel de control del kit, dijo que hay unos seis usuarios diferentes, dos de los cuales (admin y vipr) tienen privilegios de administrador.  Un perfil de usuario con el alias &#8220;pit&#8221; o &#8220;pitty&#8221; tiene permisos de subadministrador y otros tres (lyr, ump y test1) tienen privilegios de usuario.<\/p>\n<p>&#8220;admin&#8221; tambi\u00e9n es un usuario ficticio reservado principalmente para crear otros usuarios.  El panel de administraci\u00f3n, que funciona con una suscripci\u00f3n, se controla mediante el usuario &#8220;l\u00e1stima&#8221;.<\/p>\n<p>Sin embargo, un error de seguridad operacional que expuso el servidor git llev\u00f3 a PRODAFT a eliminar el anonimato de dos de los actores de la amenaza: un ciudadano de Uzbekist\u00e1n de 31 a\u00f1os llamado Oleg Lukyanov y un ruso que se hace llamar Vladimir Nikonov.<\/p>\n<p>Tambi\u00e9n evalu\u00f3 con gran confianza que el desarrollador del malware Dridex tiene una &#8220;relaci\u00f3n cercana&#8221; con los administradores de RIG EK, debido al manual adicional<\/p>\n<p>pasos de configuraci\u00f3n tomados para &#8220;garantizar que el malware se distribuya sin problemas&#8221;.<\/p>\n<p>&#8220;En general, RIG EK ejecuta un negocio muy fruct\u00edfero de exploit-as-a-service, con v\u00edctimas en todo el mundo, un arsenal de exploits altamente efectivo y numerosos clientes con malware en constante actualizaci\u00f3n&#8221;, dijeron los investigadores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/02\/researchers-share-new-insights-into-rig.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El kit de explotaci\u00f3n RIG (EK) alcanz\u00f3 una tasa de explotaci\u00f3n exitosa hist\u00f3ricamente alta de casi el 30%<\/p>\n","protected":false},"author":1,"featured_media":646501,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,6414,15590,38,23323,4662,12583,8304,4668,246,4667,36,4669,4654,4658,4659,4653,4655,2431,1621,4663,57383,4666,4665,131,4660],"class_list":["post-646500","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-comparten","tag-conocimientos","tag-del","tag-exploit","tag-filtracion-de-datos","tag-investigadores","tag-kit","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-los","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nuevos","tag-operaciones","tag-programa-malicioso-ransomware","tag-rig","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sobre","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/646500","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=646500"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/646500\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/646501"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=646500"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=646500"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=646500"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}