¿Qué es el malware Dridex?
Dridex es un software malicioso (malware) que tiene como objetivo el acceso bancario y financiero aprovechando las macros de Microsoft Office para infectar los sistemas. Una vez infectado el ordenador, los atacantes de Dridex pueden robar las credenciales bancarias y otra información personal del sistema para acceder a los registros financieros de un usuario.
Dridex opera llegando primero al ordenador de un usuario como un correo electrónico spam malicioso con un documento de Microsoft Word adjunto al mensaje. Si el usuario abre el documento, una macro incrustada en el documento desencadena subrepticiamente una descarga del malware bancario Dridex, lo que le permite primero robar credenciales bancarias y luego intentar generar transacciones financieras fraudulentas.
Evolución de Cridex y ZeuS
Dridex es una evolución del malware Cridex, que a su vez se basa en el malware troyano ZeuS. El malware bancario Dridex se propagó inicialmente a finales de 2014 a través de una campaña de spam que generó más de 15.000 correos electrónicos cada día. Los ataques se centraron principalmente en sistemas informáticos ubicados en el Reino Unido.
El troyano Cridex se propaga copiándose a sí mismo en las unidades mapeadas y extraíbles de los ordenadores infectados. Cridex crea un punto de entrada de puerta trasera en los sistemas infectados, permitiendo la posibilidad de descargar y ejecutar malware adicional, así como realizar operaciones como la apertura de sitios web falsos.
Esta última capacidad permite a Cridex capturar las credenciales bancarias de los usuarios en un sistema infectado cuando el usuario intenta visitar e iniciar sesión en un sitio web financiero. Cridex redirige subrepticiamente al usuario a una versión fraudulenta del sitio financiero y registra las credenciales de inicio de sesión a medida que se introducen.
¿Es Dridex detectable?
Al igual que el malware Emotet, Dridex también ha tenido muchas iteraciones. A lo largo de la última década, Dridex se sometió a una serie de aumentos de características, incluyendo una transición a scripts XML, algoritmos hash, cifrado peer-to-peer y cifrado peer-to-command-and-control. Al igual que Emotet, cada nueva versión de Dridex supone un paso más en la carrera armamentística global, ya que la comunidad de seguridad responde con nuevas detecciones y mitigaciones», escribieron los investigadores.
Se cree que Dridex seguirá viendo más variaciones. «Dado el despliegue del mismo día y la implementación del dominio ssl-pertcom el 26 de junio y una tendencia a utilizar variables y directorios de URL generados al azar, es probable que los actores detrás de esta variante de Dridex continúen cambiando los indicadores a lo largo de la campaña actual», dijo el informe.
Luz al final del túnel?
El 5 de diciembre de 2019 el FBI anunció los cargos en la conspiración de malware de dos ciudadanos rusos.
Junto con varios co-conspiradores, Maksim V. Yakubets e Igor Turashev están acusados de un esfuerzo que infectó decenas de miles de ordenadores con un código malicioso llamado Bugat. Una vez instalado, el código informático, también conocido como Dridex o Cridex, permitía a los delincuentes robar credenciales bancarias y sacar dinero directamente de las cuentas de las víctimas. El esquema de larga duración incluía diferentes variantes del código, y una versión posterior también instalaba un ransomware en los ordenadores de las víctimas. Los delincuentes exigían entonces un pago en criptomoneda para devolver los datos vitales o restaurar el acceso a los sistemas críticos.
Turashev y Yakubets fueron acusados en el Distrito Oeste de Pensilvania de conspiración para cometer fraude, fraude electrónico y fraude bancario, entre otros cargos. Yakubets también fue vinculado a los cargos de conspiración para cometer fraude bancario emitidos en el Distrito de Nebraska después de que los investigadores pudieran conectarlo con el apodo de «aqua» de ese caso, que implicaba otra variante de malware conocida como Zeus.
Lea el artículo completo aquí
Cómo prevenir el ransomware
Hay una serie de medidas defensivas que puede tomar para prevenir la infección por ransomware. Estos pasos son, por supuesto, buenas prácticas de seguridad en general, por lo que seguirlos mejora tus defensas frente a todo tipo de ataques:
- Parcheado – Mantén tu sistema operativo parcheado y actualizado para asegurarte de tener menos vulnerabilidades que explotar.
- Lista blanca de aplicaciones – No instales software ni le des privilegios administrativos a menos que sepas exactamente qué es y qué hace. Asegúrate de mantener una lista de aplicaciones aprobadas para toda la organización.
- Servicio antivirus/malware, utiliza un servicio que detecte programas maliciosos como el ransomware a medida que llegan. Algunos incluyen capacidades de listas blancas que impiden que las aplicaciones no autorizadas se ejecuten en primer lugar.
- Amplíe su perímetro, utilice un servicio de filtrado de correo electrónico y medios sociales preferiblemente basado en la nube. Esto detectará archivos adjuntos y maliciosos y muchos «como Spambrella» también escanean las URL en busca de actores maliciosos.
- Adopte el enfoque 3:2:1. Cree tres copias de seguridad, en dos tipos diferentes de medios, y almacene una copia de forma segura fuera del sitio en un dispositivo con protección de aire – Uno que no está conectado a la red o accesible a través de Internet
Todo lo que necesita saber sobre el phishing…
Falsificación de correo electrónico: Qué es y cómo prevenirlo
La clínica de Michigan Brookside ENT cierra sus puertas tras un ataque de ransomware