Se ha observado que el malware bancario conocido como Carbanak se utiliza en ataques de ransomware con tácticas actualizadas.
«El malware se ha adaptado para incorporar proveedores de ataques y técnicas para diversificar su eficacia», dijo la firma de ciberseguridad NCC Group en un análisis de los ataques de ransomware que tuvieron lugar en noviembre de 2023.
«Carbanak regresó el mes pasado a través de nuevas cadenas de distribución y se distribuyó a través de sitios web comprometidos para hacerse pasar por varios software relacionados con los negocios».
Algunas de las herramientas suplantadas incluyen software popular relacionado con los negocios, como HubSpot, Veeam y Xero.
Carbanak , detectado en estado salvaje desde al menos 2014, es conocido por sus funciones de exfiltración de datos y control remoto. Comenzó como un malware bancario y luego lo utilizó el sindicato de ciberdelincuentes FIN7.
En la última cadena de ataque documentada por NCC Group, los sitios web comprometidos están diseñados para alojar archivos de instalación maliciosos que se hacen pasar por utilidades legítimas para desencadenar la implementación de Carbanak.
El desarrollo se produce cuando el mes pasado se reportaron 442 ataques de ransomware, frente a 341 incidentes en octubre de 2023. Se han reportado un total de 4276 casos en lo que va de año, lo que es «menos de 1000 incidentes menos que el total de 2021 y 2022 combinados ( 5.198).»
Los datos de la compañía muestran que los sectores industrial (33%), consumo cíclico (18%) y atención médica (11%) surgieron como los principales sectores objetivo, con América del Norte (50%), Europa (30%) y Asia (10%). ) representando la mayoría de los ataques.
En cuanto a las familias de ransomware detectadas con más frecuencia, LockBit , BlackCat y Play contribuyeron al 47% (o 206 ataques) de 442 ataques. Con BlackCat desmantelado por las autoridades este mes, queda por ver qué impacto tendrá la medida en el panorama de amenazas en el futuro cercano.
«A falta de un mes del año, el número total de ataques ha superado los 4.000, lo que marca un enorme aumento con respecto a 2021 y 2022, por lo que será interesante ver si los niveles de ransomware continúan aumentando el próximo año», Matt Hull, global dijo el jefe de inteligencia de amenazas de NCC Group.
El aumento de los ataques de ransomware en noviembre también ha sido corroborado por la empresa de seguros cibernéticos Corvus, que dijo que identificó 484 nuevas víctimas de ransomware publicadas en sitios de filtración.
«El ecosistema de ransomware en general se ha alejado exitosamente de QBot», dijo la compañía . «Hacer que los exploits de software y las familias de malware alternativas formen parte de su repertorio está dando sus frutos a los grupos de ransomware».
Si bien el cambio es el resultado de una eliminación policial de la infraestructura de QBot (también conocida como QakBot), Microsoft reveló la semana pasada detalles de una campaña de phishing de bajo volumen que distribuye el malware, lo que subraya los desafíos que implica desmantelar completamente estos grupos.
El desarrollo se produce cuando Kaspersky reveló que las medidas de seguridad del ransomware Akira impiden que su sitio de comunicación sea analizado al generar excepciones al intentar acceder al sitio utilizando un depurador en el navegador web.
La empresa rusa de ciberseguridad destacó además la explotación por parte de los operadores de ransomware de diferentes fallas de seguridad en el controlador del Sistema de archivos de registro común (CLFS) de Windows: CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 ( Puntuaciones CVSS: 7,8) – para escalada de privilegios.
Fuente y redacción: thehackernews.com