Ransomware
El grupo de piratas informáticos iraní Agrius, también conocido como Pink Sandstorm y anteriormente Americium, ha desarrollado recientemente una nueva variedad de ransomware llamada Moneybird. Se ha observado que este malware amenazante se dirige específicamente a organizaciones israelíes, lo que significa un cambio significativo en las tácticas de Agrius.
Tabla de contenido
Los ciberdelincuentes amplían su arsenal de amenazas
Agrius tiene un historial de llevar a cabo ataques destructivos de borrado de datos contra entidades israelíes, a menudo disfrazándolos como incidentes de ransomware. El surgimiento de Moneybird, codificado en C++, muestra la creciente experiencia del grupo y su compromiso continuo con la creación de nuevas herramientas cibernéticas.
Las actividades del grupo se remontan al menos a diciembre de 2020, cuando Agrius participó en la interrupción de los intentos de intrusión contra las industrias de diamantes en Sudáfrica, Israel y Hong Kong. Anteriormente, Agrius utilizaba un limpiador convertido en ransomware llamado Apostle, basado en el marco .NET, y su sucesor llamado Fantasy. Sin embargo, Moneybird representa un avance significativo para el grupo, ya que muestra sus capacidades cibernéticas en evolución a través de su lenguaje de programación C++.
Los actores de amenazas explotan las vulnerabilidades de seguridad para obtener acceso
La metodología de ataque empleada por Moneybird Ransomware demuestra un alto nivel de sofisticación, comenzando con la explotación de las vulnerabilidades presentes en los servidores web orientados a Internet. Esta explotación inicial otorga a los atacantes un punto de entrada crucial a la red de la organización objetivo, facilitado por la implementación de un shell web ASPXSpy.
Una vez dentro de la red comprometida, el Web Shell sirve como canal de comunicación para que los atacantes ejecuten una variedad de herramientas bien conocidas diseñadas específicamente para llevar a cabo un amplio reconocimiento del entorno de la víctima. Estas herramientas permiten a los atacantes moverse lateralmente dentro de la red, recopilar credenciales valiosas y filtrar datos confidenciales.
Moneybird Ransomware está equipado con capacidades de cifrado avanzadas
Después de la fase inicial de infiltración y reconocimiento, Moneybird Ransomware se activa en el host comprometido. Este ransomware está diseñado con un enfoque específico en el cifrado de archivos confidenciales ubicados dentro de la carpeta "F:\User Shares". Tras la ejecución, el ransomware despliega una nota de rescate, ejerciendo una gran presión sobre las víctimas para establecer contacto dentro de un plazo de 24 horas, advirtiéndoles de la posible filtración pública de sus datos robados.
Moneybird Ransomware emplea una metodología de encriptación altamente sofisticada, utilizando AES-256 con GCM (Galois/Counter Mode). Esta técnica de encriptación avanzada genera claves de encriptación únicas para cada archivo y agrega metadatos encriptados al final. La orientación precisa y el cifrado robusto implementado por Moneybird hacen que la tarea de restauración de datos y descifrado de archivos sea extremadamente desafiante, si no casi imposible, en la mayoría de los casos.
Medidas de seguridad importantes para detener un ataque de ransomware
Se pueden implementar medidas de seguridad efectivas para proteger los dispositivos y los datos de los ataques de ransomware. En primer lugar, es fundamental mantener un software de seguridad robusto y actualizado. La actualización periódica de los programas antimalware, junto con la habilitación de actualizaciones automáticas, ayuda a protegerse contra las amenazas más recientes.
La implementación de contraseñas seguras y únicas para todas las cuentas es otro paso crucial. Esto comprende el uso de una combinación de letras, números y símbolos, así como evitar contraseñas comunes y fáciles de adivinar. Además, habilitar la autenticación multifactor agrega una capa adicional de seguridad al requerir pasos de verificación adicionales para acceder a las cuentas.
Realizar copias de seguridad de los datos relevantes con regularidad es vital para mitigar el impacto de un ataque de ransomware. La creación de copias de seguridad fuera de línea o el uso de soluciones de almacenamiento en la nube garantiza que los archivos críticos se puedan recuperar en caso de encriptación o pérdida.
Ser cauteloso al navegar por Internet e interactuar con correos electrónicos es esencial. Los usuarios deben ser escépticos al hacer clic en enlaces sospechosos o descargar archivos de fuentes no confiables. Es crucial estar atento y evitar visitar sitios web potencialmente dañinos o interactuar con correos electrónicos sospechosos, ya que pueden contener cargas útiles de ransomware.
Educarse y mantenerse informado sobre las últimas amenazas de ciberseguridad y técnicas de ataque es muy beneficioso. Reconocer las tácticas comunes de ingeniería social utilizadas en los ataques de phishing y estar al tanto de los signos de una posible infección de ransomware puede ayudar a los usuarios a tomar medidas proactivas para prevenir y responder a tales ataques.
La actualización periódica de los sistemas operativos, las aplicaciones y el firmware es otro aspecto vital para mantener una seguridad sólida. Los parches y las actualizaciones a menudo incluyen correcciones de seguridad que abordan vulnerabilidades que podrían ser explotadas por ransomware y otro malware.
Al realizar una combinación de estas medidas de seguridad, los usuarios pueden mejorar la protección de sus dispositivos y datos contra el impacto devastador de los ataques de ransomware.
