El ransomware revive en número de ataques, con Troldesh a la cabeza

Troldesh es el nombre de un malware de tipo ransomware que lidera el ranking actual de infecciones por este tipo de amenaza. Cuando parecía que perdía fuerza, el ransomware se apunta más del 50% de todos los emails maliciosos enviados en el año 2019

Group-IB esuna empresa de ciberseguridad ubicada en Singapur a la que debemos estas cifras, siendo su CERT-GIB (equipo de Incident Response) el equipo encargado de analizar los emails que aportan estos datos.

Troldesh, también llamado Shade, es la herrramienta que más están usando ahora mismo los cibercriminales.

Troldesh, ransowmare y emails maliciosos

Para saltarse la seguridad de los antivirus corporativos, los atacantes envían emails en horas no laborales, con activación retardada. Más del 80% los archivos adjuntos en correos son camuflados bajo extensiones como .rar y .zip.

El informe del CERT-GIB está basado en su sistema TDS (Threat Detection System) Polygon, como parte de sus operaciones para descubrir y detener amenazas distribuidas en la red, en más de 60 países, durante la primera parte de 2019.

Entre las conlusiones de sus datos hay una clara: el email es el vehículo de infección preferido y con diferencia. Esto es así tanto para el ransomware como para los troyanos bancarios y las backdoors como el reciente ACBackdoor.

En 2018 se redujo a menos de un 5% el número de descargas de malware originadas desde navegador. Ya en 2019, solo en 1 de cada 19 ocasiones el vector de infección es diferente.

También hay que reseñar la evolución de los archivos/binarios protegidos con contraseña para infectar equipos. Han pasado de ser un 0,08% de todos los objetos maliciosos en 2017 a un 3,6% en 2018 y a representar nada menos que un 27,8% en 2019.

Otra moda actual es la de disfrazar emails para hacerlos pasar por inocuos bajo la lupa de los sistemas de inspección de correo. Para ello se «archivan» los objetos con extensiones como ZIP (32%) y RAR (25%) en más del 80% de casos.

Ahora, en lugar de los tradicionales archivos maliciosos adjuntos, se opta a menudo por incluir enlaces, a través de los cuales se descargan archivos infectados. Los enlaces están presentes en un 29% de emails y los adjuntos en un 71%.

El departamento financiero es protagonista

Las técnicas de ingeniería social tan utilizadas actualmente para pulsar o descargar cosas que no debemos, están principalmente dirigidas al departamento de finanzas o puestos de relevancia.

Se utilizan normalmente palabras como Payment/Pago, Scan/Escaneo, Invoice/factura, Voice message/mensaje de voz o New order / Nuevo pedido

Es fácil de entender que el vocabulario financiero prevalezca, se ha comprobado que el uso de temas relacionados con finanzas o compras aumenta las posibilidades de infectar a empleados de estos departamentos, con gran valor para los cibercriminales.

El resurgir del ransomware

Durante 2018, el principal vector de infección en casos con pérdidas económicas eran los troyanos y backdoors, pero en el primer semestre de 2019 el ransomware ha vuelto a ocupar el lugar predominante de los últimos años.

Los datos más recientes del CERT-GIB ponen al ransomware como responsable de un 54% del total de ciberataques registrados. Las 3 herramientas más populares para realizarlos son Troldesh (53%), TRM (17%) y POny Formgrabber (6%).

Troldesh es un ransomware que existe desde hace años y se ha vuelto tremendamente exitoso en los tiempos que corren.

Las últimas campañas protagonizadas por Troldesh escapan al mecanismo de ransomware tradicional, que busca cifrar nuestros archivos, para añadir otros esquemas como minería de criptomoneda o generación de tráfico indeseado para conseguir beneficios mediante anuncios fraudulentos.

RTM fue desarrollado por un grupo con el mismo nombre. Este malware apareció durante 2016 y está asociado con hackers rusos. su propósito principal es robar fondos a través de entidades financieras rusas.

En último lugar tenemos a Pony Formgrabber, malware diseñado para robar credenciales de usuario en más de 100 aplicaciones, incluyendo navegadores, clientes de email, clientes VPN o FTP.