Ransomware con una crisis de identidad apunta a pequeñas empresas e individuos

-

TZW es la última versión de Adhubllka, que ha estado activo desde 2019 pero ha pasado en gran medida desapercibido debido a sus menores demandas de rescate.

Los investigadores han identificado una nueva cepa de ransomware que se remonta a 2019 y que apunta a individuos y pequeñas empresas, exigiendo pequeños rescates a cada cliente en lugar de las sumas a menudo millonarias que los actores típicos de ransomware solicitan.

TZW es la última cepa de la familia de ransomware Adhubllka, que apareció por primera vez en enero de 2020 pero ya estaba activa el año anterior, según revelaron investigadores de la firma de análisis de seguridad y operaciones Netenrich en una publicación de blog esta semana.

Aún más importante que el descubrimiento de la cepa es el proceso que los investigadores llevaron a cabo para identificarla correctamente. A lo largo de los años, muchas de las muestras de Adhubllka han sido mal clasificadas y/o etiquetadas erróneamente en alguna otra familia de ransomware, dice Rakesh Krishnan, analista senior de amenazas en Netenrich.

"Esto confundiría a los cazadores de amenazas/investigadores de seguridad al hacer un informe de incidentes", dice. De hecho, los investigadores informan que varios motores habían detectado previamente TZW pero encontraron rastros de otro malware, como CryptoLocker, en la muestra.

Además, ya se habían asignado otros nombres a la misma pieza, incluyendo ReadMe, MMM, MME, GlobeImposter2.0, que en realidad pertenecen a la familia de ransomware Adhubllka. Toda esta confusión requirió una investigación más profunda en la genealogía de la cepa de ransomware para identificarla con la atribución adecuada, dice Krishnan.

"Esta investigación también arroja luz sobre el rastreo de una familia de ransomware a su origen utilizando los canales de comunicación de [los actores de amenazas] y otros medios", incluyendo correos electrónicos de contacto, notas de rescate y método de ejecución, que jugaron un papel vital en el análisis, añade.

Rastreando Adhubllka

Adhubllka ganó más atención en enero de 2020, pero había estado "altamente activo" el año anterior, señalaron los investigadores. El grupo de amenazas TA547 utilizó variantes de Adhubllka en sus campañas dirigidas a varios sectores de Australia en 2020.

Una razón clave por la que fue tan complicado para los investigadores identificar TZW como una derivación de Adhubllka es debido a las pequeñas demandas de rescate que el grupo suele hacer: de $800 a $1,600. A ese bajo nivel, las víctimas a menudo pagan a los atacantes y estos continúan pasando desapercibidos.

"Este ransomware, como otros, se entrega a través de campañas de phishing, pero la singularidad radica en que sólo apuntan a individuos y empresas de pequeño tamaño, por lo que no harán una gran noticia en el canal de medios", dice Krishnan. "Sin embargo, esto no significa que [Adhubllka] no crezca más en el futuro, ya que ya han hecho las actualizaciones necesarias en su infraestructura."

De hecho, en el futuro, los investigadores anticipan que este ransomware puede ser renombrado con otros nombres; otros grupos también pueden usarlo para lanzar sus propias campañas de ransomware.

"Sin embargo, mientras el actor de la amenaza no cambie su modo de comunicación, podremos rastrear todos estos casos de vuelta a la familia Adhubllka", dice Krishnan.

Claves para la identificación

De hecho, la clave que los investigadores utilizaron para vincular la última campaña a Adhubllka fue rastrear los dominios Tor previamente vinculados utilizados por el actor, con el equipo descubriendo pistas dentro de la nota de rescate entregada a las víctimas para rastrearla de vuelta a la fuente.

En la nota, el actor de la amenaza pide a las víctimas que se comuniquen a través de un portal de víctimas basado en Tor para obtener las claves de descifrado después del pago del rescate. La nota indicaba que el grupo cambió su canal de comunicación de URLs Tor Onion v2 a URL Tor v3, "porque la comunidad Tor deprecó los dominios Onion v2", según la publicación.

Además, una frase adicional en la nota — "el servidor con tu descifrador está en una red cerrada Tor" — sólo se vio en dos nuevas variantes de Adhubllka: TZW y U2K, según los investigadores, lo que redujo aún más la atribución.

Otras pistas que apuntaban claramente a la última variante de Adhubllka eran el uso de la dirección de correo electrónico pr0t3eam@protonmail.com, ampliamente reportada como perteneciente al grupo de ransomware, y su enlace a la muestra de variante MD5 de Adhubllka detectada en 2019.

La investigación en general demuestra cómo el ransomware está cuidadosamente diseñado para desviar a los cazadores de amenazas del rastro de los ciberdelincuentes, reforzando la importancia de defenderse contra los ataques estableciendo una solución de seguridad de punto final, dice Krishnan.

"Sin embargo, cuando un ransomware es recién formado/codificado, sólo puede ser frustrado por una educación básica de seguridad, como no hacer clic en enlaces maliciosos entregados por correo electrónico", dice.

De hecho, las protecciones más importantes para las organizaciones radican en prevenir que el ransomware entre en un entorno en primer lugar, "lo que significa buscar anomalías de comportamiento, escalada de privilegios e introducción de medios extraíbles sospechosos en un entorno", añade Krishnan.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más