Observatorio de Amenazas

Carbanak: el malware bancario que se convierte en ransomware

Escrito por Javiera González | 29-12-23

El malware bancario conocido como Carbanak se ha utilizado en ataques de ransomware con tácticas actualizadas. El malware se ha adaptado para incorporar proveedores de ataques y técnicas para diversificar su efectividad.

Sobre Carbanak

Carbanak regresó el mes pasado a través de nuevas cadenas de distribución y se ha distribuido a través de sitios web comprometidos para hacerse pasar por varios programas relacionados con el negocio.

Algunas de las herramientas suplantadas incluyen software popular relacionado con los negocios, como HubSpot, Veeam y Xero.
 
Carbanak, detectado en la naturaleza desde al menos 2014, es conocido por sus funciones de exfiltración de datos y control remoto. Comenzando como un malware bancario, ha sido utilizado por el sindicato de ciberdelincuencia FIN7.
 
En la última cadena de ataques documentada por NCC Group, los sitios web comprometidos están diseñados para alojar archivos de instalación maliciosos que se hacen pasar por utilidades legítimas para desencadenar el despliegue de Carbanak.
 

Detalles del ataque

Los ataques de Carbanak suelen comenzar con una campaña de phishing que engaña a los usuarios para que abran un archivo adjunto malicioso o hagan clic en un enlace malicioso. Una vez que el malware se ejecuta en el sistema de una víctima, puede robar datos, instalar malware adicional o tomar el control del sistema.

En los ataques recientes, Carbanak se ha distribuido a través de sitios web comprometidos que se hacen pasar por sitios web legítimos. Estos sitios web pueden alojar archivos de instalación maliciosos que se disfrazan como software legítimo. Cuando un usuario descarga e instala uno de estos archivos, se instala Carbanak en el sistema de la víctima.

Carbanak es un malware sofisticado que puede causar daños significativos a las organizaciones. Las organizaciones deben estar al tanto de este nuevo uso de Carbanak en ataques de ransomware y tomar medidas para protegerse.

Impacto potencial

  • Los ataques de ransomware pueden causar daños significativos a las organizaciones, incluidos la pérdida de datos, la interrupción de las operaciones y los costos financieros.
  • Las organizaciones que no estén preparadas para un ataque de ransomware pueden sufrir daños significativos.

Recomendaciones:

Para protegerse de estos ataques debe mantener al día su conocimiento sobre las estrategias de ataque e implementar medidas de seguridad para proteger sus sistemas y datos.

Algunas medidas son: mantener el software actualizado con las últimas correcciones de seguridad, implementar soluciones antivirus y antimalware e implementar un firewall para controlar el tráfico de entrada y salida.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin que tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digitalde todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

Medidas de mitigación:

Para mitigar el riesgo de esta vulnerabilidad, las organizaciones pueden tomar las siguientes medidas:

  • Implementar las últimas actualizaciones de seguridad de Microsoft. Microsoft lanzó una actualización de seguridad para abordar esta vulnerabilidad el 12 de julio de 2023. Las organizaciones deben instalar esta actualización lo antes posible para protegerse.
  • Utilizar un software de seguridad que pueda detectar y bloquear el exploit. Hay varios productos de seguridad que pueden detectar y bloquear el exploit CVE-2023-23397. Las organizaciones deben implementar uno de estos productos para proteger sus sistemas.
  • Educar a los empleados sobre las amenazas de correo electrónico malicioso y cómo identificarlo. Los empleados deben estar capacitados para identificar y evitar correos electrónicos maliciosos. Las organizaciones deben proporcionar capacitación sobre seguridad a sus empleados para ayudar a proteger sus sistemas.
     

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
    • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://thehackernews.com/2023/12/carbanak-banking-malware-resurfaces.html

https://www.apañados.es/73249-malware-bancario-carbanak-resurge-nuevas-tacticas-ransomware 
Ver post completo