Overblog
Edit post Seguir este blog Administration + Create my blog

Publicado por Bienvenidos a Portal Tecnologico

 

 

El arresto de líder de grupo podría haberlos obligado a adaptarse

 

 

Ahora se ha convertido en oficial, y parece que la botnet Dridex que ha estado distribuyendo troyanos bancarios durante años, ahora ha cambiado su perfil en su totalidad y está propagando el ransomware en su lugar.


Los informes iniciales sobre este tema fueron realizados por investigadores de Palo Alto, quien a mediados de febrero dieron cuenta de que la botnet Dridex ha dejado de emitir su troyano bancario infame y altamente peligroso, del mismo nombre. 

Los investigadores notaron en el momento que los operadores de la botnet comenzaron a enviar un nuevo tipo de variante del ransomware, que más tarde fue nombrado como Locky, después de la extensión que se suma a todos los archivos que cifra.

Locky fue un éxito desde el primer momento

Los operadores de las redes bots Dridex tienen una gran experiencia en el envió de software malicioso, que funciona desde el año 2014, y algunos de ellos incluso fueron parte de Gameover Zeus, otra botnet de nivel superior 3 bancario. 

Su experiencia en empujar cantidades masivas de correo basura demostró de inmediato, la infección de Locky 
a víctimas en todo el mundo, llegando a ser tan peligroso como TeslaCrypt o CryptoWall. 

Casi un mes después de que los operadores de las redes bots comenzaran su ola de ransomware, era una prueba suficiente de que el grupo hizo el cambio completo de troyanos bancarios a los ransomware. 

El Troyano bancario Dridex parece ser una cosa del pasado

 

 

"Nuestra Base de Datos de Investigación sobre spam detectaron alrededor de 4 millones de mensajes spam del malware en los últimos siete días, y la categoría del malware en su conjunto representaron el 18% del total de spam que llega a nuestras trampas", señaló el investigador Rodel Mendrez deTrustwave SpiderLabs.

De esto, el investigador dice que una gran parte del spam está siendo enviado de la antigua infraestructura de la red de bots Dridex. Los mensajes de spam incluyen un archivo ZIP que, cuando se ejecuta, descarga un archivo JS malicioso que descarga y ejecuta el ransomware Locky. 

No parece haber ningún rastro del troyano bancario Dridex, con la ahora campaña de spam parece ser que renunciaron al envio de archivos de Word que incluían acciones automatizadas de macro que previamente instalaban el troyano bancario.

La detención del autor intelectual de Dridex podría haber tenido algo que ver con esto.

Una de las razones por la que el grupo podría haber renunciado al ataque a instituciones financieras es la detención y posterior 
extradición a Estados Unidos de Andrey Ghinkul de 30 años, desde Moldavia, considerado como el cerebro detrás de toda la operación. 

Mientras que la policía pensó que Dridex caería para siempre después de su detención, el grupo simplemente decidió cambiar de MO y se centró en el diseño de monetización más simple como el ransomware. 

Con una infraestructura masiva ya puesto en práctica durante sus operaciones anteriores, Locky de Dridex se ha convertido en un jugador importante en la escena ransomware tan sólo unos días después de que se puso en marcha y el sentido común dicta que permanecerá así hasta que más miembros del grupo sean detenidos y la red de bots al fin sea desactivada.

 

 

Para estar informado de los últimos artículos, suscríbase:
Comentar este post