México en la mira del grupo ciber criminal Evilcorp

A finales de 2019, el Departamento de Justicia de Estados Unidos, ofreció $5 millones de dólares por la captura de Yakubets, uno de los fundadores de EvilCorp. Yakubets ha reclutado gente y lavado más de $100 millones de dólares, provenientes, principalmente, de sus víctimas en Estados Unidos y Europa. A este grupo se le atribuye la creación del malware Dridex, el cual, habitualmente llega por mensajes de correo electrónico utilizando macros maliciosos de Microsoft Office, pero también vía SMS a los teléfonos celulares y robar así información bancaria de los usuarios.

EvilCorp ha estado activo por más de 11 años y, a pesar del anuncio y recompensa publicado por el Departamento de Justicia estadounidense, el grupo sigue altamente activo, sin afectación aparente.

El equipo de Seguridad Ofensiva de Metabase Q, Ocelot, descubrió múltiples campañas de infección del grupo criminal EvilCorp. Ocelot publicó un estudio que tiene como fin explicar los detalles de cada una de las campañas identificadas que permitan a las organizaciones implementar controles preventivos correctivos. Desde abril del presente año, estas campañas han estado comprometiendo sitios web mexicanos a través de los cuales distribuyen el malware preferido de la organización: Dridex. Cabe destacar que, desde 2014, este malware ha extraído exitosamente la información bancaria de sus víctimas.

Metabase Q y su equipo de Seguridad Ofensiva, Ocelot, indican que el paso inicial es robustecer los procesos y tecnología, así como capacitar al personal de las organizaciones. De igual forma, se requiere evaluar los sistemas y probarlos ante un ataque de ransomware.

También lee: Esta es la Reevo, la bicicleta eléctrica de llantas sin rayos

Ransomware-as-a-service (RaaS) es una de estas herramientas a través del cual se emulan Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés). Replicando múltiples familias de ransomware como Ryuk, Revil, DarkSide, entre otras.

El objetivo con esta simulación es fortalecer el monitoreo, la detección y las capacidades de erradicación de ransomware en las organizaciones a través de:

  • Procesos: Detección de brechas y fortalecimiento de políticas y procedimientos establecidos para reaccionar ante un incidente.
  • Gente: Capacitación al personal de su Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) en Respuesta a Incidentes.
  • Tecnología: Identificación de brechas en sus soluciones de seguridad: SMTP Gateway, Endpoint, Lateral Movement, Event Correlation, Malicious Callbacks.

Leído 337