2. Campaña de Ransomware "Inc. Ransom" activa

Campaña de Ransomware "Inc. Ransom" activa

Fecha de publicación: Dom, 20/10/2024 - 21:11

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha identificado una campaña activa del Ransomware "Inc. Ransom". Esta nueva variante hizo su aparición en julio de 2023 y se encuentra en propagación activa tomando como objetivo:

  • Pequeñas, medianas e, inclusive, grandes empresas
  • Entidades gubernamentales
  • Entidades educativas
  • Entidades de salud
  • Entidades bancarias
  • Entidades de tecnología

Una vez cifrada la información, el ransomware enumera a sus víctimas en su blog en la DeepWeb

Medios de propagación

  • Inc. Ransom se enfoca en la explotación de vulnerabilidades de soluciones empresariales, incluyendo CVE-2023-3519 de Citrix NetScaler, y una campaña masiva de Phishing Direccionado (o Spear Phishing) con el fin de obtener credenciales de los usuarios.
  • Una vez que el actor de amenaza obtiene acceso a uno o varios dispositivos de la entidad realiza varios análisis para identificar vulnerabilidades en otros dispositivos de la red interna
  •  A través del uso de cuentas comprometidas el actor malicioso inspecciona los archivos con el objetivo de identificar información relevante.
  • Una vez que el atacante obtiene acceso a diversos dispositivos de la entidad se despliega el archivo "INC1.exe"  que instala ransomware en los equipos comprometidos. El ransomware cifra los datos, impidiendo el acceso a ellos y realiza el cargado de datos. Asimismo se genera la nota de rescate con el nombre "INC-README.TXT" e "INC-README.HTML" en cada carpeta que contiene información cifrada. De igual manera se tratará de enviar la nota de rescate a todas las impresoras a las que se tenga conexión.

Recomendaciones 

- Verificar que todo el hardware y software se encuentra actualizado con los últimos parches de seguridad

- Monitorear los sistemas en busca de posibles indicadores de compromiso (IoC). Si se observa actividad inusual, sospechosa o interacción extraña con archivos se recomienda aislar esos dispositivos de manera inmediata.

- Monitorear la red de manera horizontal y vertical, con el fin de detectar actividad con servidores de comando y control (C2C). La aplicación de inteligencia de amenzas ayuda a identificar IPs maliciosas, dominios maliciosos y otros.

- Capacitar a todo el personal de la entidad acerca del Phishing Direccionado (o Spear Phishing) y el Ransomware

- Desarrollar un plan de respuesta ante esta amenaza, inclusive si se emplean todas las mejores prácticas y se tiene el mejor software de ciberseguridad.

- Crear copias de seguridad periódicas que se almacenen desconectadas de la red de la entidad.    

Referencias

CheckPoint

SentinelOne