Grupo TA2101 (campaña de distribución de IcedID y MAZE)

A través del observatorio de amenazas del CSIRT Financiero, se ha identificado actividad reciente acerca de un nuevo grupo denominado TA2101. Este nuevo APT, ha protagonizado una serie de campañas de tipo malspam y phishing, utilizando la imagen de entidades y organizaciones de Alemania, Italia y Estados Unidos. Hasta el momento no se tiene estipulado a que línea de usuarios buscan afectar, no obstante, han utilizado variantes del ransomware Maze y el troyano bancario IcedID en sus campañas.

Ransomware Buran, el nuevo malware de tipo RaaS (Ransomware as a service)

  • Publicado: 15/11/2019
  • Importancia: Media

Recursos afectados

Con respecto al ransomware buran, se puede decir que está catalogado entre la gama de malware RaaS [Ransomware as a Service] que corresponde a un tipo de malware de pago respecto a las necesidades del ciberdelincuente.  Dicho lo anterior, sus campañas de venta se desarrollaron sobre foros rusos de la deep web, donde el creador de esta amenaza ofrecía sus servicios como Cryptolocker y compatible en todas las versiones de Windows y Windows server.

Así mismo una vez el ransomware Buran entra en contacto con el usuario, este se distribuye a las máquinas a través de RIG Exploit Kit, el cual explota la vulnerabilidad CVE-2018-8174 que corresponde a una vulnerabilidad de “Microsoft Internet Explorer VBScript Engine” que en efecto permite la inyección de código arbitrario sobre la máquina.

Este es un breve resumen realizado por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected].

Etiquetas