Noticias
Los hackers aprenden de WannaCry y Petya para dar más potencia a su malware
Las consecuencias de los ataques sufridos por miles de empresas y organismos oficiales en todo el mundo a causa de los ransomware WannaCry y Petya han atraído la atención no sólo de los expertos en seguridad de todo el mundo. También de los que se dedican al desarrollo de malware, que han detectado en ambos ataques unas pautas que, combinadas con su malware, puede desembocar en unos ataques más potentes.
Un ejemplo de esto es lo que están haciendo los desarrolladores del malware encargado del robo de credenciales bancarias Trickbot, que desde el año pasado ha atacado varias entidades financieros y, que según ZDNet, hace poco que ha añadido varios bancos británicos y estadounidenses a su lista de víctimas.
Trickbot se ha caracterizado hasta ahora por atacar a pocos objetivos, pero muy seleccionados, y se extiende a través de mensajes de correo electrónico escritos por alguien que pretende trabajar para una entidad financiera internacional y que guía a la víctima a una página de conexión a un servicio falsa, que se utiliza para robar sus credenciales de acceso al sistema. Pero sus creadores no estaban del todo satisfechos con el resultado, y han comenzado a probar otras versiones de su malware con las técnicas utilizadas por WannaCry y Petya para expandirse rápidamente por todo el planeta.
Para ello, según han detectado varios expertos e investigadores de Flashpoint, los desarrolladores de Trickbot están probando una nueva versión, a la que denominan 1000029, que puede expandirse a través de SMB (Server Message Block, o Bloque de Mensajes de Servidor), tal como sucedió con el exploit que permitió la expansión de WannaCry y Petya.
El culpable de la expansión de ambos fue un agujero de seguridad de Windows denominado Eternal Blue, y a través del uso de SMB, los creadores de Trickbot han conseguido que este malware sea capaz de escanear dominios para localizar listas de servidores a través de la API de Windows NetServerEnum. También de detectar qué ordenadores de una red son susceptibles de poder ser atacados.
El malware derivado de Trickbot también utiliza la comunicación entre procesos para propagarse y ejecutar un script para descargar una versión adicional del malware, disfrazada como setup.exe, al disco compartido del sistema.
Según parece, hasta ahora, los responsables del desarrollo de esta versión del malware Trickbot no parecen haber conseguido desarrollarlo por completo. Tampoco tiene aún la capacidad de escanear al azar IPs externas con el objetivo de establecer conexiones SMB, a diferencia de lo que sucedía con WannaCry. Eso sí, los expertos e investigadores avisan de que su desarrollo demuestra que trabajo que realizan los desarrolladores que trabajan para los ciberciminales o que se dedican directamente al desarrollo de herramientas para cometer delitos online y realizar ataques es muy profesional y está en constante evolución.
Si los hackers consiguen desarrollar por completo el gusano que permita la extensión masiva de Trickbot, podría infectar ordenadores que están en la misma red que la máquina en la que se instala en primer lugar a través de un correo electrónico que lleva a una web falsa en la que introducir credenciales de acceso a un servicio, lo que podría desembocar en el robo de más credenciales y datos. También podrían hacer que se interconectasen todas las redes infectadas para convertirlas en una botnet para la expansión y difusión de malware.
Trickbot no es tan prolífico en ataques y consecuencias desastrosas como WannaCry o Petya, pero si consigue evolucionar, tal como lo ve el Director de Investigación de Flashpoint, Vitali Kremez, «aunque el módulo del gusano parezca estar en un estado bastante primitivo en la actualidad, es evidente que los creadores de Trickbot han aprendido de los ataques globales de ransomware de tipo gusano WannaCry y NotPetya y que están intentando replicar sus métodos«.
HPE demanda al grupo chino Inspur por violación de patentes y prácticas engañosas
Linux Foundation lanza Open Platform for Enterprise AI para crear herramientas de IA generativa open source
«El low code en sí no es una tecnología o una plataforma, es una estrategia»
Huawei muestra su potencial para empresas y cloud en España en el Digital Transformation Summit
Cinco estrategias para mejoras la experiencia del cliente que compra on-line
El Congreso Aslan revalida su posición como cita tecnológica de referencia
Dynatrace Carbon Impact, solución para reducir la huella de carbono en la empresa
Cómo la tecnología mejora el día a día en un quirófano
Red Hat e Inetum automatizan la infraestructura TIC de Madrid Digital
NTT DATA acelera la implementación del 5G ORAN usando la tecnología de Red Hat
¿Más datos significa más riesgo?
Educación y tecnologías: ¿cuáles se han impuesto en las aulas?
HPE demanda al grupo chino Inspur por violación de patentes y prácticas engañosas
¿Más datos significa más riesgo?
Lenovo ThinkPad L Series y X Series: más innovación, más sostenibilidad
Cómo elegir el switch ideal para una empresa
Multa de 250 millones a Google por incumplir sus acuerdos con los medios de Francia
Zoom anuncia Compliance Manager, una plataforma de compliance de las comunicaciones
-
EntrevistasHace 3 días«No tiene sentido una estrategia tecnológica que no encaje al 100% con la del CEO»
-
RecursosHace 5 díasCuatro mitos del Mac en la empresa que tienes que desterrar
-
NoticiasHace 5 díasBeDisruptive y el CCI acuerdan trabajar para reforzar la ciberseguridad industrial en España
-
NoticiasHace 4 díasIberdrola, en busca de socios para construir centros de datos