La peor alianza de Ransomware y la familia CryptoMiner en una racha, a principios de enero de 2019 . Malware Spam o MalSpam es el término utilizado para designar el malware que se entrega a través de mensajes de correo electrónico.

Spam malicioso (MalSpam) que utiliza archivos JavaScript comprimidos (.js) como archivos adjuntos de correo electrónico: esta es una táctica bien establecida utilizada por los ciberdelincuentes para distribuir malware. El tráfico de infección incluyó GandCrab ransomware, un minero de criptomoneda Monero (XMRig), y el tráfico de spambot Phorpiex.

El correo electrónico será entregado con el JavaScript inicial y extrae un «exe» expediente. Este archivo descargará el dropper y el dropper obtendrá el resto de las cargas útiles de Command and Control.

En los últimos 2 días, se encontraron muchas muestras y muchas están cargando nuevas muestras en espacios públicos. En » app.any.run «, un arenero público, hay casi 1200 muestras cargadas y la distribución parece ser alta.

Este ransomware de GandCrab con CryptoMining parece ser crítico y nuevas variantes de 2019. Obtenga el IOC de su Cyber ​​Intel y de las cajas de arena públicas. El propósito de GandCrab, al igual que con otros ransomware, es cifrar todos o muchos archivos en un sistema infectado e insistir en el pago para desbloquearlos. El desarrollador requiere el pago en criptomoneda, principalmente DASH, debido a su complejidad de seguimiento, o Bitcoin.

Evolución de GandCrab Ransomware

                GandCrab v1 Ransomware, se descubrió a principios de 2018. En casi un mes, más de 50000 puntos finales fueron infectados y encriptados. Inusualmente, este ransomware solicitó pagar un rescate en el formato de criptomoneda «DASH».

GandCrab v2 Ransomware, se descubrió en mayo de 2018. Con la nueva extensión de cifrado de «.CRAB» y se usaron dominios más sofisticados como CnC.

GandCrab v3 y v3.1 Ransomware se descubrieron en 2018 más tarde con más técnicas de evasión de antivirus.

GandCrab v4 Ransomware, trajo muchos cambios en el flujo de trabajo y los patrones de comunicación de punto final. Se ha utilizado la nueva extensión «.KRAB» y los creadores han utilizado un nuevo algoritmo de cifrado. Sorprendentemente esta variante, no conecta un CnC.

GandCrab v5 & v5.0.4 Ransomware trajo muchos cambios en los patrones de comunicación y muy avanzado en los estándares de cifrado. A finales de 2018, esto creó un mayor impacto y el aumento de víctimas fue enorme.

¿Qué es Malware CryptoMining?

CryptoMining malware, o malware de minería de criptomonedas o simplemente crypto jacking. Hoy en día, los delincuentes cibernéticos se han volcado cada vez más hacia el malware CryptoMining, ya que es una forma de aprovechar el poder de procesamiento de una gran cantidad de computadoras, teléfonos inteligentes y otros dispositivos electrónicos para ayudarlos a generar ingresos a partir de la minería de criptomonedas.

Por lo tanto, están infectando máquinas, utilizan el dispositivo, cifran utilizando ransomware, destruyen las huellas y completan sus acciones. Los atacantes cibernéticos están encontrando más formas de crear una alianza de varios programas maliciosos y combinarlos para lograr sus objetivos.

Flujo de proceso del MalSpam

MalSpam

Recomendaciones para encontrar este MalSpam

1.) Bloquee los nombres de los archivos adjuntos de correo electrónico como «Love», «Love_You», «Luv_You», «Love_You_», etc. e intente combinaciones más.

2.) Asegúrese de que los tipos de archivos .js estén bloqueados en su puerta de enlace de correo electrónico si no son necesarios.

3.) Bloquee todas las IoC basadas en URL e IP en el firewall, IDS, puertas de enlace web, enrutadores u otros dispositivos basados ​​en el perímetro.

4.) Asegúrese de que su equipo de SOC esté monitoreando las huellas de la actividad de ransomware.

5.) Asegúrese de que su equipo de SOC esté monitoreando la actividad anormal de las Ejecuciones de Powershell.

Indicadores de compromiso

IP

74.220.215 [.] 73
78.46 [.] 77.98
92.63 [.] 197.48
136.243.13 [.] 215
138 [.] 201.162.99
198.105.244 [.] 228
217 [.] 26.53.161

Dominios

gandcrabmfe6mnef [.] onion
icanhazip [.] com
osheoufhusheoghuesd [.] ru
slpsrgpsrhojifdij [.] ru
suieiusiueiuiuushgush [.] ru
www [.] 2mmotorsport [.] biz
www [.] bizzini
. ] biz
www [.] haargenau [.] biz
www [.] holzbock [.] biz
hxxp: // 92 [.] 63 [.] 197 [.] 48 / m / 5 [[.]] exe
hxxp: / /92[.]63[.]197[.]48/m/3[[.]]exe
hxxp: [.] [.] [.] // 92 63 197 48 / m / 1 [. []] exe
hxxp: // 92 [.] 63 [.] 197 [.] 48 / m / 4 [[.]] exe
hxxp: // 92 [.] 63 [.] 197 [.] 48 / m / 2 [ [.]] exe
hxxp: // 92 [.] 63 [.] 197 [.] 48/2 [[.]] exe
hxxp: // 92 [.] 63 [.] 197 [.] 48/1 [ [.]]exe

SHA-256
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Fuente: gbhackers.com

Compartir