Los investigadores de seguridad descubrieron recientemente un nuevo servidor “anfitrión de una gran reserva de archivos maliciosos".
El análisis muestra que los actores maliciosos están apuntando a una serie de organizaciones con la ayuda de un servidor de comando y control. Este servidor está recibiendo muestras de ransomware y el malware punto de venta, entre otros.
El análisis llevado a cabo por investigadores de Cisco Talos muestra que los atacantes eran “capaces de obtener un profundo nivel de acceso a las víctimas’ infraestructura". El equipo de investigación también identificó varios de los objetivos, incluyendo una compañía de fabricación americana.
Los investigadores descubrieron “una gran variedad de archivos maliciosos en este servidor, que van desde ransomware como el DopplePaymer, a tarjeta de crédito de malware de captura como los TinyPOS, así como algunos cargadores que ejecutan código entregan directamente desde el mando y control (C2)."
La diversidad de datos ubicados en este servidor representa cómo los actores de amenaza pueden dirigirse a una gran variedad de organizaciones que utilizan la misma infraestructura. Las herramientas y enfoques maliciosos revelan un adversario ingenioso y sofisticado, quién tiene "una amplia infraestructura compartida a través de diferentes operaciones."
Dos objetivos identificados
Se identificaron dos objetivos últimos de este adversario de recursos durante el análisis del servidor de comando y control. La organización de primera apuntado es un fabricante de rejillas de aluminio y acero con sede en Estados Unidos. Esta compañía fue atacado con ransomware.
Para la identificación de la segunda diana, los investigadores desplegaron un volcado de proceso. Sin embargo, detalles sobre la organización víctimas no fueron revelados en el informe.
En conclusión, el análisis revela un actor de amenaza sofisticada capaz de comprometer una variedad de organizaciones, utilizando diferentes muestras de malware. Uno de los objetivos de los investigadores identificaron fue atacado por ransomware, pero el actor amenaza también puede robar datos de tarjetas de crédito a través de puntos de venta de malware.
Sobre la base de los descubrimientos hasta el momento, parece que el atacante está prefiriendo las medianas empresas en el sector industrial. Durante su investigación, los investigadores se pusieron en contacto con varias víctimas potenciales para asegurar que podrían remediar.
Este es un buen ejemplo de cómo un atacante puede ser variada durante su uso de la infraestructura y el uso de diferentes herramientas, técnicas y procedimientos (TTP), los investigadores concluido.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: