{"id":835271,"date":"2023-07-03T06:19:44","date_gmt":"2023-07-03T06:19:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/operadores-de-blackcat-que-distribuyen-ransomware-disfrazado-de-winscp-a-traves-de-publicidad-maliciosa\/"},"modified":"2023-07-03T06:19:47","modified_gmt":"2023-07-03T06:19:47","slug":"operadores-de-blackcat-que-distribuyen-ransomware-disfrazado-de-winscp-a-traves-de-publicidad-maliciosa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/operadores-de-blackcat-que-distribuyen-ransomware-disfrazado-de-winscp-a-traves-de-publicidad-maliciosa\/","title":{"rendered":"Operadores de BlackCat que distribuyen ransomware disfrazado de WinSCP a trav\u00e9s de publicidad maliciosa"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se ha observado que los actores de amenazas asociados con el ransomware BlackCat emplean trucos de publicidad maliciosa para distribuir instaladores maliciosos de la aplicaci\u00f3n de transferencia de archivos WinSCP.<\/p>\n<p>&#8220;Actores maliciosos usaron publicidad maliciosa para distribuir malware a trav\u00e9s de p\u00e1ginas web clonadas de organizaciones leg\u00edtimas&#8221;, investigadores de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/f\/malvertising-used-as-entry-vector-for-blackcat-actors-also-lever.html\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado la semana pasada.  &#8220;En este caso, la distribuci\u00f3n involucr\u00f3 una p\u00e1gina web de la conocida aplicaci\u00f3n WinSCP, una aplicaci\u00f3n de Windows de c\u00f3digo abierto para la transferencia de archivos&#8221;.<\/p>\n<p>Malvertising <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwarebytes.com\/malvertising\" target=\"_blank\">se refiere<\/a> al uso de <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/breaking-down-the-seo-poisoning-attack-how-attackers-are-hijacking-search-results\/\" target=\"_blank\">T\u00e9cnicas de envenenamiento SEO<\/a> para propagar malware a trav\u00e9s de publicidad en l\u00ednea.  Por lo general, implica secuestrar un conjunto elegido de palabras clave para mostrar anuncios falsos en las p\u00e1ginas de resultados de b\u00fasqueda de Bing y Google con el objetivo de redirigir a los usuarios desprevenidos a p\u00e1ginas incompletas.<\/p>\n<p>La idea es enga\u00f1ar a los usuarios que buscan aplicaciones como WinSCP para que descarguen malware, en este caso, una puerta trasera que contiene un <a rel=\"nofollow noopener\" href=\"https:\/\/www.reliaquest.com\/blog\/cobalt-strike-servers-ransomware\/\" target=\"_blank\">Baliza de ataque de cobalto<\/a> que se conecta a un servidor remoto para operaciones de seguimiento, al mismo tiempo que emplea herramientas leg\u00edtimas como AdFind para facilitar el descubrimiento de la red.<\/p>\n<p>El acceso proporcionado por Cobalt Strike se abusa a\u00fan m\u00e1s para descargar una serie de programas para realizar reconocimiento, enumeraci\u00f3n (PowerView), movimiento lateral (PsExec), eludir el software antivirus (KillAV BAT) y filtrar datos de clientes (cliente PuTTY Secure Copy).  Tambi\u00e9n se observa el uso de la <a rel=\"nofollow noopener\" href=\"https:\/\/www.reddit.com\/r\/crowdstrike\/comments\/13wjrgn\/20230531_situational_awareness_spyboy_defense\/\" target=\"_blank\">terminador<\/a> herramienta de evasi\u00f3n de defensa para manipular el software de seguridad por medio de un ataque Bring Your Own Vulnerable Driver (BYOVD).<\/p>\n<p>En la cadena de ataque detallada por la compa\u00f1\u00eda de ciberseguridad, los actores de la amenaza lograron robar privilegios de administrador de alto nivel para realizar actividades posteriores a la explotaci\u00f3n e intentaron configurar la persistencia utilizando herramientas de administraci\u00f3n y monitoreo remoto como AnyDesk, as\u00ed como acceder a servidores de respaldo.<\/p>\n<p>&#8220;Es muy probable que la empresa se hubiera visto sustancialmente afectada por el ataque si se hubiera buscado una intervenci\u00f3n m\u00e1s tarde, especialmente porque los actores de la amenaza ya hab\u00edan logrado obtener acceso inicial a los privilegios de administrador del dominio y comenzaron a establecer puertas traseras y persistencia&#8221;, dijo Trend Micro. .<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1688365183_388_Operadores-de-BlackCat-que-distribuyen-ransomware-disfrazado-de-WinSCP-a.jpg\" alt=\"ransomware gato negro\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"ransomware gato negro\"\/><\/div>\n<p>El desarrollo es solo el \u00faltimo ejemplo de actores de amenazas que aprovechan la plataforma Google Ads para servir malware.  En noviembre de 2022, Microsoft revel\u00f3 una campa\u00f1a de ataque que aprovecha el servicio de publicidad para implementar BATLOADER, que luego se usa para eliminar el ransomware Royal.<\/p>\n<p>Tambi\u00e9n viene como la empresa checa de ciberseguridad Avast <a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/threatresearch\/decrypted-akira-ransomware\/\" target=\"_blank\">liberado<\/a> un descifrador gratuito para el incipiente ransomware Akira para ayudar a las v\u00edctimas a recuperar sus datos sin tener que pagar a los operadores.  Akira, que apareci\u00f3 por primera vez en marzo de 2023, desde entonces <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2023\/06\/28\/akira-ransomware-extends-reach-to-linux-platform\/\" target=\"_blank\">ampli\u00f3 su huella objetivo<\/a> para incluir sistemas Linux.<\/p>\n<p>&#8220;Akira tiene algunas similitudes con el ransomware Conti v2, lo que puede indicar que los autores del malware al menos se inspiraron en las fuentes filtradas de Conti&#8221;, dijeron los investigadores de Avast.  La compa\u00f1\u00eda no revel\u00f3 c\u00f3mo descifr\u00f3 el algoritmo de encriptaci\u00f3n del ransomware.<\/p>\n<p>El sindicato Conti\/TrickBot, tambi\u00e9n conocido como Gold Ulrick o ITG23, cerr\u00f3 en mayo de 2022 despu\u00e9s de sufrir una serie de eventos disruptivos desencadenados por el inicio de la invasi\u00f3n rusa de Ucrania.  Pero el grupo de delitos electr\u00f3nicos contin\u00faa existiendo hasta la fecha, aunque como entidades m\u00e1s peque\u00f1as y utilizando encriptadores e infraestructura compartidos para distribuir su warez.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/1687793621_378_Intercambio-de-criptomonedas-japones-es-victima-del-ataque-de-puerta.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>IBM Security X-Force, en una reciente inmersi\u00f3n profunda, dijo que los encriptadores de la pandilla, que son aplicaciones dise\u00f1adas para encriptar y ofuscar el malware para evadir la detecci\u00f3n de los esc\u00e1neres antivirus y dificultar el an\u00e1lisis, tambi\u00e9n se est\u00e1n utilizando para diseminar nuevas cepas de malware como Aresloader, Canyon , CargoBay, DICELOADER, Lumma C2, Matanbuchus, Minodo (antes Domino), Pikabot, SVCReady, Vidar.<\/p>\n<p>&#8220;Anteriormente, los encriptadores se usaban predominantemente con las principales familias de malware asociadas con ITG23 y sus socios cercanos&#8221;, dijeron los investigadores de seguridad Charlotte Hammond y Ole Villadsen. <a rel=\"nofollow noopener\" href=\"https:\/\/securityintelligence.com\/posts\/trickbot-conti-crypters-where-are-they-now\/\" target=\"_blank\">dicho<\/a>.  &#8220;Sin embargo, la fractura de ITG23 y la aparici\u00f3n de nuevas facciones, relaciones y m\u00e9todos han afectado la forma en que se utilizan los crypters&#8221;.<\/p>\n<p>A pesar de la naturaleza din\u00e1mica del ecosistema del delito cibern\u00e9tico, a medida que los ciberdelincuentes nefastos van y vienen, y algunas operaciones se asocian, cierran o cambian el nombre de sus esquemas motivados financieramente, el ransomware contin\u00faa siendo una amenaza constante.<\/p>\n<p>Esto incluye la aparici\u00f3n de un nuevo grupo de ransomware como servicio (RaaS) llamado Rhysida, que se ha centrado principalmente en los sectores de educaci\u00f3n, gobierno, fabricaci\u00f3n y tecnolog\u00eda en Europa occidental, Am\u00e9rica del Norte y del Sur y Australia.<\/p>\n<p>&#8220;Rhysida es una aplicaci\u00f3n de ransomware criptogr\u00e1fico de Windows Portable Executable (PE) de 64 bits compilada con MINGW\/GCC&#8221;, SentinelOne <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/rhysida-ransomware-raas-crawls-out-of-crimeware-undergrowth-to-attack-chilean-army\/\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico.  &#8220;En cada muestra analizada, el nombre del programa de la aplicaci\u00f3n se establece en Rhysida-0.1, lo que sugiere que la herramienta se encuentra en las primeras etapas de desarrollo&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/blackcat-operators-distributing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado que los actores de amenazas asociados con el ransomware BlackCat emplean trucos de publicidad maliciosa<\/p>\n","protected":false},"author":1,"featured_media":835272,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,30291,4664,8847,40916,4662,4668,4667,11113,4654,4658,4659,4653,4655,11419,4663,9994,4883,4666,4665,116,4660,172305],"class_list":["post-835271","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-blackcat","tag-como-hackear","tag-disfrazado","tag-distribuyen","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-maliciosa","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-operadores","tag-programa-malicioso-ransomware","tag-publicidad","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-traves","tag-vulnerabilidad-de-software","tag-winscp"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/835271","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=835271"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/835271\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/835272"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=835271"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=835271"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=835271"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}