El nuevo ataque de ransomware de octubre llega a los puntos finales como phishing de archivos "desconocidos" para las víctimas

Antispam Tiempo de leer: 4 minutos

Comodo Threat Intelligence Lab descubrió una nueva campaña de phishing en octubre con la infame carga útil de ransomware Locky dilapidado de IKARUS, que marca el cuarto híbrido de esta amenaza en evolución de 4.

Los piratas informáticos utilizan una botnet de ordenadores "zombis" bajo su control para coordinar un ataque de phishing basado en ingeniería social dirigido a empresas e individuos. Los correos electrónicos que llegaban a decenas de miles de puntos finales como archivos "desconocidos" pasaban por alto la seguridad de TI basada en firmas de malware e incluso las herramientas de inteligencia artificial basadas en el aprendizaje automático.

La botnet tiene un aspecto de ingeniería social, y los usuarios reciben un correo electrónico con el asunto "Pago complementario". Al igual que con los otros tres ataques dilapidados de IKARUS de agosto y septiembre, hacer clic en el archivo adjunto en última instancia encripta las computadoras de las víctimas y exige un rescate de bitcoin.

Aquí hay un detalle de un correo electrónico real desde el primer día del ataque.

La campaña dirigida se desarrolló principalmente del 11 al 13 de octubre de 2017.

Este malware se distribuye con el ".Asasin" extensión y un script de Visual Basic (y tiene una extensión ".vbs"). Las cuatro oleadas de ataques dilapidados de IKARUS se diseñaron con suficiente código nuevo para engañar a los administradores de seguridad y sus algoritmos de aprendizaje automático y herramientas basadas en firmas. Las variaciones de ingeniería social fueron interesantes, destinadas a engañar también a los empleados que recibían los correos electrónicos.

En los ataques, los archivos ".vbs" se distribuyen por correo electrónico. Esto muestra que los autores de malware están desarrollando variaciones para llegar a más usuarios en empresas que permiten nuevos, archivos desconocidos para ingresar a su infraestructura a través del punto final. Desafortunadamente, esto incluye muchas empresas del F1000, así como pequeñas y medianas empresas.
Las víctimas aquí ven la pantalla de demanda de ransomware tan familiar para las víctimas de las tres primeras oleadas de ataques de Locky dilapidados de IKARUS durante el verano y septiembre.

Mirando más de cerca una vista de la pantalla de rescate, verá que invocan Wikipedia como un medio para que la víctima aprenda más sobre los cifrados de cifrado:

Aquí hay un mapa de calor del ataque del 11 de octubre, que muestra su alcance global.

Las ubicaciones en India, Vietnam, Irán y Brasil fueron los principales destinatarios.

Los ISP en general fueron fuertemente cooptados, lo que apunta nuevamente tanto a la sofisticación del ataque como a la ciberdefensa inadecuada contra el nuevo malware que llega a sus puntos finales.

Estos son los principales propietarios de rangos detectados en el "Pago suplementario" ataque:

Dueño de rango	Suma: recuento de correos electrónicos
Airtel Broadband	872
Correos y Telecomunicaciones de Vietnam (VNPT)	730
Corporación Viettel	530
FPT Telecom Company	438
Bharti Airtel	411

Aquí puede ver una muestra de la secuencia de comandos, que es bastante diferente a la utilizada en el
Ataques de septiembre de 2017.

Expertos en phishing y troyanos del Comodo Threat Intelligence Lab (parte de Comodo Threat Research Labs) detectaron estos ataques de ransomware "Locky" y verificaron que comenzaron el 11 de octubre. Se detectaron más de 10,367 casos de correos electrónicos de phishing en terminales protegidos por Comodo en un primer momento. tres días. Los archivos adjuntos se leyeron como "archivos desconocidos", se pusieron en contención y se les negó la entrada hasta que fueron analizados por la tecnología de Comodo y, en este caso, el nuevo y sofisticado malware de inteligencia artificial, Comodo Inteligencia de amenaza Expertos en humanos de laboratorio.

El análisis del laboratorio de los correos electrónicos enviados en el "Pago suplementario" La campaña de phishing reveló los datos de este ataque: se utilizan 9,177 direcciones IP diferentes de 143 dominios de nivel superior de código de país diferentes mantenidos por la Autoridad de Números Asignados de Internet (IANA).

Sorprendentemente, cuando el laboratorio analizó las fuentes y las comparó con las direcciones IP que participaron en las últimas tres campañas, se utilizaron 546 de las mismas direcciones IP junto con 8,631 direcciones IP diferentes utilizadas en este ataque. Este es otro signo de personal de seguridad de TI con recursos insuficientes o con una formación inadecuada (o probablemente ambos).

"Los ataques de estos piratas informáticos continuarán mientras las empresas sigan utilizando las estrategias y herramientas inadecuadas de los proveedores heredados". dijo Fatih Orhan, director del Laboratorio de Inteligencia de Amenazas de Comodo y Comodo Laboratorios de investigación de amenazas (CTRL). “El problema de los archivos desconocidos está empeorando y recomendamos encarecidamente a las OSC que reevalúen su postura de seguridad de“ permiso predeterminado ”y evalúen la autocontención de próxima generación y otras tecnologías de aislamiento que protegen contra malware nuevo o reciente como el utilizado en estos ataques IKARUS Locky. "

¿Quiere profundizar en los datos de los ataques? Consulte el nuevo Laboratorio de inteligencia de amenazas de Comodo “INFORME ESPECIAL: OCTUBRE DE 2017 - OCTUBRE TRAE LA CUARTA ONDA
OF ATAQUES DE RANSOMWARE; EXTENSIÓN ".ASASIN" UTILIZADA PARA ARCHIVOS CIFRADOS "El Informe especial es uno de los muchos incluidos con una suscripción gratuita a las actualizaciones de laboratorio en https://comodo.com/lab. Proporciona una cobertura en profundidad de este ataque, con más análisis y con apéndices que incluyen análisis de malware y más detalles sobre las fuentes y máquinas utilizadas en los ataques. Su suscripción a Lab Updates también incluye las Partes I, II y II del "Informe especial: IKARUSdilapidated Locky Ransomware"Serie y también le proporciona el laboratorio"Actualización semanal”Y videos de“ Actualización especial ”. Suscríbase hoy en comodo.com/lab.

NOTA PARA CONSULTAS DE LOS MEDIOS: Si desea hablar con los expertos de Comodo Threat Intelligence Lab sobre esto y las amenazas y tecnologías relacionadas, comuníquese con: relaciones-media@comodo.com

PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/pc-security/new-october-ransomware-attack-hits-endpoints-unknown-file-phishes-victims/

Inteligencia de datos generativa

Nuevo ataque de octubre contra ransomware llega a puntos finales como phishing de archivos "desconocidos" para las víctimas

Turquía promueve una nueva legislación sobre criptomonedas de acuerdo con los estándares globales: última actualización de noticias de Bitcoin.com – CryptoInfoNet

Un banco multimillonario se prepara para una multa de 450,000,000 de dólares del gobierno de EE. UU. por no detectar, informar y responder eficazmente a actividades sospechosas – The Daily Hodl

Información más reciente

UQUID avanza en las compras de criptomonedas con $USDT en Ton Blockchain

RCO Finance obtiene 250 dólares en la última ronda de financiación para acelerar el crecimiento del comercio impulsado por IA – CryptoInfoNet

SpaceX alcanza casi 6,000 satélites Starlink en órbita tras el lanzamiento del Falcon 9 desde Cabo Cañaveral

El CEO de Ripple, Garlinghouse, predice que la SEC perderá a largo plazo en la lucha contra las criptomonedas

Nuevos lanzamientos, listados y preventas de criptomonedas hoy: CandleAI, G8Coin, 5th Scape

El Departamento de Justicia nombra una empresa consultora para supervisar durante tres años el intercambio de criptomonedas Binance: informe – The Daily Hodl