Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Protección contra amenazas: El ransomware WastedLocker

Ben Nahorney

Co-autor por Martin Lee, gerente de Talos Outreach, EMEA.


Threat Protection es una nueva serie de blogs como parte de una colaboración entre Talos y Cisco Security, que combina el conocimiento de Talos sobre el panorama de amenazas y la cartera de seguridad de Cisco. En él, resaltaremos las amenazas particulares y mostraremos cómo el enfoque multicapa de Cisco Security puede evitar que afecten a su red.



Crédito: Pexels

WastedLocker es una familia ransomware que los actores de amenazas siguen utilizando en ataques dirigidos. Cisco Talos escribió originalmente sobre esta familia ransomware a principios de julio, aunque los ataques han continuado desde la publicación.


Los actores de la amenaza detrás de la familia ransomware parecen apuntar a organizaciones específicas en lugar de individuos. Una vez que el atacante obtiene un punto de apoyo, se extienden a través de la red utilizando herramientas de doble uso y binarios vivos fuera de la tierra (también conocido como LoLBins) para comprometer aún más los sistemas adicionales. Cuando los sistemas clave están bajo control de los atacantes, ejecutan la carga útil ransomware.




Esto paraliza a la víctima, aumentando la probabilidad de que la organización objetivo considerará pagar el rescate exigido.


Entrega de amenazas


Uno de los principales mecanismos utilizados para infectar a los usuarios está comprometiendo sitios web legítimos. Muchos de los atacantes que han comprometido estos sitios están utilizando un marco de entrega de malware llamado SocGholish, que se puede utilizar para mostrar páginas web falsas y entregar cargas útiles de malware. Si un usuario visita una de estas páginas, muestra una alerta falsa que informa al usuario de que su navegador está desactualizado y le indica que descargue una actualización. Si el usuario hace clic en el símbolo del sistema, se descarga código malintencionado.


El paraguas de Cisco puede prevenir el acceso a estos sitios maliciosos. Umbrella realiza un seguimiento de los sitios web comprometidos que sirven malware, y la infraestructura de apoyo de sitios web maliciosos, bloqueando el acceso a estos sitios a nivel DNS. Esto evita que los usuarios de ser expuestos a los mensajes maliciosos o descargar extensiones del navegador falsos.


Si un usuario intenta visitar uno de estos sitios malintencionados, Umbrella generará una alerta, lo que permitirá a un analista del centro de operaciones de seguridad (SOC) o un equipo similar investigar más a fondo. Con Umbrella Investigate, el analista puede buscar información adicional sobre el dominio.




Un dominio bloqueado por el paraguas de Cisco que distribuye el malware a través de los prompts falsos de la actualización del navegador.









Investiga no sólo muestra que el sitio malicioso tiene un historial de servir código malicioso, habiendo sido previamente asociado con SmokeLoader, pero la palabra clave alta y las puntuaciones léxicas en la puntuación general de riesgo de dominio proporcionan detalles sobre por qué Umbrella bloqueó este sitio, incluso si no estaba sirviendo código malicioso en ese momento, su estructura es altamente sospechosa.


Infección inicial


Suponiendo que las protecciones DNS como Umbrella no están en su lugar, y el usuario visita una de estas páginas, se les presenta una notificación falsa de que su navegador está desactualizado. Sin embargo, el archivo .zip que se les pide que descarguen es malicioso.


Afortunadamente, el AMP para los puntos finales puede parar la carga útil que SocGholish entrega, según lo evidenciado por la siguiente captura de pantalla de la respuesta de la amenaza del Cisco SecureX. En este caso, un módulo de reputación de archivos AMP detiene el archivo .zip debido a una di