Tiempo de leer: 4 minutos

¿Debería temer al escáner / impresora de su oficina? ¿Qué tal tu oficina de correos?

Una segunda ola de IKARUS nuevo pero relacionado con Locky dilapidado ataques de ransomware ha ocurrido, basándose en los ataques descubiertos por el laboratorio de Comodo Threat Intelligence a principios del mes de agosto de 2017. Esta campaña de finales de agosto también utiliza una botnet de computadoras zombies para coordinar un ataque de phishing que envía correos electrónicos que parecen provenir del escáner / impresora de su organización , u otra fuente legítima y, en última instancia, encripta las computadoras de las víctimas y exige un rescate de bitcoins.

El mayor de los dos ataques de esta ola se presenta como una imagen escaneada que se le envía por correo electrónico desde el escáner / impresora de su organización. Como en la actualidad muchos empleados escanean documentos originales en la impresora del escáner de la empresa y se los envían a sí mismos y a otras personas, este correo electrónico cargado de malware se verá muy inocente.

La sofisticación aquí incluye incluso hacer coincidir el número de modelo del escáner / impresora para que parezca más común, ya que el Sharp MX2600N es uno de los modelos más populares de escáner / impresora empresarial en el mercado.

Esta segunda ola de campaña de phishing de agosto de 2017 que lleva a IKARUS dilapidado Locky Ransomware es, de hecho, dos campañas diferentes lanzadas con 3 días de diferencia. El laboratorio descubrió que el primero (con el tema "Imagen escaneada de MX-2600N") comenzó principalmente durante 17 horas el 18 de agosto y el segundo (un correo electrónico en francés supuestamente de la oficina de correos francesa con un tema que incluía "FACTURE ”) Se ejecutó durante un período de 15 horas el 21 de agosto de 2017. Cada uno continuó más allá de esos aumentos, pero en cantidades mucho menores.

Estos autores de malware están evolucionando y cambiando de método para llegar a más usuarios y evitar los métodos de seguridad.

En estos dos nuevos ataques que se lanzaron y afectaron a numerosos países de todo el mundo se utilizan enfoques de phishing en inglés y francés.

Curiosamente, el 27% de las 54,048 direcciones IP utilizadas en el ataque de "Imagen escaneada" también se utilizaron en los primeros ataques de Locky dilapidados de IKARUS del 9 al 11 de agosto de 2017 y los principales países de origen de las "computadoras zombis" de la botnet siguieron siendo los mismos. : Vietnam, Turquía, India y México. Teniendo en cuenta que algunas de las computadoras tomadas a principios de agosto eran proveedores de servicios de Internet (ISP), es un poco sorprendente que las vulnerabilidades no se hayan abordado en la semana + desde el primer ataque y la toma de control de la botnet.

Los ISP en general fueron fuertemente cooptados en este ataque, lo que apunta tanto a la sofisticación del ataque como a la ciberdefensa inadecuada en sus puntos finales.

El ataque en francés (ver más abajo) se presenta como un mensaje de "FACTURA" que se traduce en una consulta de FACTURACIÓN o FACTURACIÓN de una dirección de correo electrónico de laposte.net (que es un dominio utilizado por una popular empresa de correos francesa).

El 17% de las IP utilizadas en este ataque también se utilizaron en los ataques Locky dilapidados de IKARUS del 9 al 11 de agosto, por lo que la respuesta a la toma de control de esas máquinas ha sido lenta.

El comodo Inteligencia de amenaza Equipo de laboratorio (parte de Comodo Laboratorios de investigación de amenazas) pudo verificar rápidamente los dos nuevos ataques de ransomware a través de detecciones en los puntos finales protegidos por Comodo en el borde frontal de cada nuevo ataque. Cuando los usuarios hicieron clic en los archivos adjuntos en estos correos electrónicos inocuos, se leyeron como "archivos desconocidos", se les negó la entrada a la infraestructura y se los puso en contención, donde fueron analizados por la tecnología de aprendizaje automático de Comodo y, en última instancia, por el laboratorio. expertos humanos.

El análisis del laboratorio de los correos electrónicos enviados en la campaña de suplantación de identidad de "imagen escaneada" reveló estos datos de ataque: 8886 direcciones IP diferentes que se utilizan de 127 dominios de nivel superior de código de país diferentes mantenidos por la Autoridad de Números Asignados de Internet (IANA). El ataque más estrecho "FACTURE" utilizó 1657 direcciones IP diferentes de 74 dominios de código de país.

Al igual que con los ataques de principios de agosto, cuando el equipo de laboratorio verificó a los propietarios del rango de IP, vemos que la mayoría de ellos son empresas de telecomunicaciones e ISP. Esto nos dice que una vez más las direcciones IP pertenecen a computadoras infectadas, ahora comprometidas (también llamadas “computadoras zombies”). Esta campaña utilizó una gran red de bots (o botnet) y tenía una sofisticada arquitectura de servidor de comando y control.

La simulación de un escáner / impresora interno, un segundo ataque solo unos días después, y el uso de elementos del idioma local y un dominio de la oficina postal también continúa la tendencia de aumentar la sofisticación, la organización y la capacidad de los nuevos ataques de ransomware y agrega más credibilidad a el llamado a actuar según la recomendación de expertos en seguridad en todas partes: "Adopte una postura de denegación de seguridad predeterminada" y, por lo tanto, niegue la entrada de archivos nuevos "desconocidos" en su infraestructura de TI hasta que esté seguro de que son archivos buenos y seguros.

"Este primer ataque de seguimiento de suplantación de identidad de ransomware tan poco después del sofisticado ataque del 9 al 11 de agosto, nos mostró lo dedicados que están para mejorar en este tipo de ataques". dijo Fatih Orhan, director de Comodo Threat Intelligence Lab y Comodo Threat Research Labs (CTRL).

Orhan continuó diciendo: “Las redes de bots de computadoras“ zombis ”comprometidas de los ISP son un medio de ataque particularmente efectivo para que los delincuentes escalen sus ataques de ransomware y bombardeen ampliamente objetivos específicos en un tipo de campaña de ráfagas cortas. Los ataques terminaron tan rápido que solo las medidas preventivas hubieran hecho una diferencia real. La detección y la respuesta habrían sido demasiado tarde aquí ".

Para leer el nuevo Informe especial de Comodo Threat Intelligence Lab sobre la Parte II de los ataques de ransomware Locky dilapidados de IKARUS, visite comodo.com/lab y simplemente ingrese su dirección de correo electrónico. Obtendrá acceso gratuito a la Parte I y II de este Informe especial, así como a todos los videos de actualizaciones semanales y especiales del laboratorio.

PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/comodo-news/special-report-ikarusdilapidated-locky-part-comodo-threat-intelligence-lab/