El Malware Bancario Carbanak se Adapta a Nuevas Tácticas y se Utiliza en Ataques de Ransomware

XPoint
Publicado el 26/12/2023

En un análisis de los ataques de ransomware ocurridos en noviembre de 2023, la firma de ciberseguridad NCC Group informó que el malware conocido como Carbanak ha sido observado en ataques de ransomware con tácticas actualizadas.

«El malware se ha adaptado para incorporar proveedores de ataques y técnicas con el fin de diversificar su efectividad», dijo NCC Group.

«Carbanak regresó el mes pasado a través de nuevas cadenas de distribución y se ha distribuido a través de sitios web comprometidos para hacerse pasar por varios software relacionados con negocios».

Algunas de las herramientas suplantadas incluyen software empresarial popular como HubSpot, Veeam y Xero.

Carbanak, detectado en la naturaleza desde al menos 2014, es conocido por sus funciones de exfiltración de datos y control remoto. Comenzando como un malware bancario, ha sido utilizado por el sindicato cibernético FIN7.

En la última cadena de ataque documentada por NCC Group, los sitios web comprometidos están diseñados para alojar archivos de instalación maliciosos que se hacen pasar por utilidades legítimas para desencadenar la implementación de Carbanak.

Este desarrollo ocurre cuando se informaron 442 ataques de ransomware el mes pasado, un aumento con respecto a los 341 incidentes en octubre de 2023. En total, se han informado 4,276 casos hasta ahora este año, «menos de 1000 incidentes menos que el total para 2021 y 2022 combinados (5,198)».

Los datos de la empresa muestran que los sectores industriales (33%), cíclicos de consumo (18%) y de atención médica (11%) fueron los más atacados, con América del Norte (50%), Europa (30%) y Asia (10%) representando la mayoría de los ataques.

En cuanto a las familias de ransomware más comúnmente detectadas, LockBit, BlackCat y Play contribuyeron al 47% (o 206 ataques) de los 442 ataques. Con BlackCat desmantelado por las autoridades este mes, aún queda por verse qué impacto tendrá este movimiento en el panorama de amenazas en el futuro cercano.

«Con un mes del año aún por delante, el número total de ataques ha superado los 4,000, lo que marca un gran aumento desde 2021 y 2022, por lo que será interesante ver si los niveles de ransomware continúan aumentando el próximo año», dijo Matt Hull, jefe global de inteligencia de amenazas en NCC Group.

El aumento en los ataques de ransomware en noviembre también ha sido corroborado por la empresa de seguros cibernéticos Corvus, que dijo que identificó a 484 nuevas víctimas de ransomware publicadas en sitios de filtraciones.

«El ecosistema de ransomware en general ha logrado cambiar lejos de QBot», dijo la compañía. «Incorporar exploits de software y familias de malware alternativas está dando resultados positivos para los grupos de ransomware».

Si bien este cambio es el resultado de la desarticulación de la infraestructura de QBot (también conocido como QakBot) por parte de las fuerzas del orden, Microsoft, la semana pasada, reveló detalles de una campaña de phishing de bajo volumen que distribuye el malware, destacando los desafíos en desmantelar completamente estos grupos.

Este desarrollo coincide con la revelación de Kaspersky de que las medidas de seguridad del ransomware Akira evitan que su sitio de comunicación sea analizado al generar excepciones al intentar acceder al sitio mediante un depurador en el navegador web.

La empresa de ciberseguridad rusa también destacó la explotación por parte de los operadores de ransomware de diferentes vulnerabilidades de seguridad en el sistema de archivos común de Windows (CLFS) – CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 (puntuaciones CVSS: 7.8) – para la escalada de privilegios.

Preguntas frecuentes

¿Qué es un Malware?

+

es una abreviatura de «software malicioso» (del inglés, malicious software). Se refiere a cualquier tipo de software diseñado con intenciones maliciosas para dañar, acceder sin autorización o explotar sistemas informáticos, redes o dispositivos. El término «malware» abarca una variedad de amenazas informáticas, incluyendo virus, gusanos, troyanos, spyware, adware, ransomware y otros tipos de programas perjudiciales.

Estos programas maliciosos están destinados a comprometer la seguridad de los sistemas informáticos, robar información confidencial, interrumpir el funcionamiento normal de los dispositivos, realizar actividades fraudulentas o causar daño en general. El malware se propaga comúnmente a través de descargas de software no confiable, correos electrónicos de phishing, sitios web maliciosos, dispositivos USB infectados y otras formas de interacción digital no segura.

La detección y eliminación de malware son tareas fundamentales en ciberseguridad, y se utilizan programas antivirus y otras herramientas de seguridad para proteger los sistemas contra estas amenazas. Además, las prácticas seguras en línea, como mantener el software actualizado y ser cauteloso al hacer clic en enlaces o descargar archivos, son importantes para prevenir infecciones por malware.

¿Qué es un CyberSOC?

+

CyberSOC es una abreviatura de Centro de Operaciones de Ciberseguridad (en inglés, Cybersecurity Operations Center). Un CyberSOC es un componente clave en la infraestructura de Ciberseguridad de una organización. Su función principal es Monitorear, Detectar, Analizar y Responder a Ciberamenazas en tiempo real. El Equipo de un CyberSOC está compuesto por profesionales con experiencia en análisis de amenazas, forense digital, inteligencia de amenazas y otros campos relacionados.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es el Hacking Ético?

+

El Hacking Ético, Ethical Hacking o Pentesting es una práctica de ciberseguridad en la que profesionales, conocidos como «hackers éticos» o «expertos en seguridad», utilizan sus habilidades para identificar y corregir vulnerabilidades en sistemas, redes y aplicaciones. A diferencia de los hackers maliciosos, los hackers éticos trabajan con el permiso del propietario del sistema para mejorar su seguridad. El proceso de hacking ético generalmente incluye la evaluación de la seguridad, la identificación de posibles vulnerabilidades, la recomendación de soluciones y, a menudo, la realización de pruebas de penetración controladas para fortalecer la ciberseguridad de una organización. Este enfoque ayuda a prevenir ataques maliciosos y a proteger la integridad y privacidad de la información.

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos