Alertas de Seguridad

Los ataques de AceCryptor van en aumento

Perú tuvo el mayor número de ataques en 1S2023

[22/03/2024] ESET Research ha registrado un aumento dramático en los ataques de AceCryptor, con detecciones de ESET triplicándose entre la primera y la segunda mitad del 2023. Además, en los últimos meses, ESET registró un cambio significativo en la forma en que se usa AceCryptor, es decir, que los atacantes que propagan Rescoms (también conocidos como Remcos) comenzaron a utilizar AceCryptor, lo que no era el caso antes.

"Rescoms es una herramienta de acceso remoto (RAT) que los actores de amenazas suelen utilizar con fines maliciosos; AceCryptor es un criptorizador como servicio que ofusca el malware para dificultar su detección. Con base en el comportamiento del malware implementado, asumimos que el objetivo de estas campañas era obtener credenciales de correo electrónico y navegador para futuros ataques contra las empresas objetivo. La gran mayoría de las muestras RAT de Rescoms empaquetadas con AceCrypto se utilizaron como vector de compromiso inicial en múltiples campañas de spam dirigidas a países europeos, incluidos Europa Central (Polonia, Eslovaquia), los Balcanes (Bulgaria, Serbia) y España, comentó el investigado de ESET, Jakub Kaloc, quien descubrió la última campaña de AceCryptor con Rescoms, en el comunicado de prensa.

En estas campañas, agregó el analista, AceCryptor se utilizó para dirigirse a múltiples países europeos y para extraer información u obtener acceso inicial a múltiples empresas. "El malware en estos ataques se distribuyó en correos electrónicos no deseados, que en algunos casos fueron bastante convincentes; a veces, el spam incluso se enviaba desde cuentas de correo electrónico legítimas, pero abusadas. Debido a que abrir archivos adjuntos de dichos correos electrónicos puede tener graves consecuencias para usted o su empresa, le recomendamos que sea consciente de lo que está abriendo y utilice un software de seguridad de endpoints confiable capaz de detectar este malware".

En el primer semestre del 2023, los países más afectados por el malware empaquetado por AceCryptor fueron Perú, México, Egipto y Turquía, siendo Perú, con 4.700, el que tuvo el mayor número de ataques. Las campañas de spam de Rescoms cambiaron drásticamente estas estadísticas en la segunda mitad del año. El malware empaquetado con AceCryptor afectó principalmente a los países europeos.

"Las muestras de AceCryptor que hemos observado en la segunda mitad del 2023 a menudo contenían dos familias de malware como carga útil: Rescoms y SmokeLoader. Un pico detectado en Ucrania fue causado por SmokeLoader. Por otro lado, en Polonia, Eslovaquia, Bulgaria y Serbia, el aumento de la actividad fue causado por AceCryptor que contenía Rescoms como carga útil final, explicó Kaloc.

Todas las campañas de spam dirigidas a empresas en Polonia tenían correos electrónicos con líneas de asunto muy similares sobre ofertas B2B para las empresas víctimas, anotó el analista. "Para parecer lo más creíbles posible, los atacantes investigaron y utilizaron los nombres de las empresas polacas existentes, e incluso los nombres de los empleados/propietarios existentes y la información de contacto al firmar esos correos electrónicos. Esto se hizo para que, en el caso de que una víctima buscara en Google el nombre del remitente, la búsqueda tuviera éxito, lo que podría llevar a la víctima a abrir el archivo adjunto malicioso.

Kaloc añadió que, si bien se desconoce si las credenciales se recopilaron para el grupo que llevó a cabo estos ataques, o si esas credenciales robadas se venderían más tarde a otros actores de amenazas, es cierto que un compromiso exitoso abre la posibilidad de nuevos ataques, especialmente para ataques de ransomware.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »