Fallas de Windows y LinkedIn utilizadas en ataques de ransomware Conti, advierte Google

Fallas de Windows y LinkedIn utilizadas en ataques de ransomware Conti, advierte Google

Un corredor de acceso inicial, que trabaja en nombre del conjunto de ransomware Conti (entre otros muchos), se dirige a cientos de organizaciones todos y cada uno de los días, explotando una falla en MSHTML, un motor de navegador patentado para Windows, conforme los estudiosos de Google.

El conjunto de análisis de amenazas de Google halló un conjunto llamado "Exotic Lily" que trabajaba como corredor de acceso inicial, violando las redes de destino, ya antes de vender el acceso adquirido al mejor pujador.

Los operadores de ransomware con frecuencia subcontratan los sacrificios de acceso inicial para centrarse por completo en repartir el ransomware en sí y en el siguiente impulso para abonar el rescate.

Estafa falsa de LinkedIn

Exotic Lily era parcialmente avanzada en sus tácticas y usa cantidades "infrecuentes" de trabajo duro para una operación a gran escala, asevera Google.

El conjunto utilizaría el hurto de dominio e identidad para hacerse pasar por un negocio lícito y mandar e-mails de phishing, por norma general simulando una propuesta comercial. Asimismo utilizarían herramientas de inteligencia artificial (IA) libres en público para producir imágenes reales de humanos, para crear cuentas falsas de LinkedIn, lo que asistiría a la verosimilitud de la campaña.

Una vez que se establece el contacto inicial, el actor de la amenaza cargaría el malware en un servicio público de intercambio de ficheros, como WeTransfer, para eludir la detección por parte de los programas antivirus y acrecentar las posibilidades de entrega al dispositivo de destino. El malware, por norma general un documento armado, explota un día cero en el motor del navegador MSHTML de Microsoft, rastreado como CVE-dos mil veintiuno-cuarenta cuatrocientos cuarenta y cuatro. El despliegue de la segunda etapa por norma general llevaba el BazarLoader.

Los estudiosos de Google piensan que el conjunto es independiente y trabaja para el mejor pujador. Hasta el instante se le ha relacionado con Conti, Diavol, un oleaje como Wizard Spider (un supuesto operador del ransomware Ryuk).

Exotic Lily se advirtió por vez primera en septiembre del año pasado y, en su máximo desempeño, es capaz de mandar más de cinco mil e-mails de phishing a más de seiscientos cincuenta organizaciones, conforme Google. Semeja que el actor de amenazas se centra primordialmente en las compañías de TI, ciberseguridad y atención médica, si bien recientemente ha estado lanzando una red un tanto más extensa.

Vía: TechCrunch