México en la mira del grupo cibercriminal EvilCorp

0
293

A finales de 2019, el Departamento de Justicia de Estados Unidos ofreció $5 millones de dólares por la captura de Yakubets, uno de los fundadores de EvilCorp. Yakubets ha reclutado gente y lavado más de $100 millones de dólares, provenientes, principalmente, de sus víctimas en Estados Unidos y Europa. A este grupo se le atribuye la creación del malware Dridex, el cual, habitualmente llega por mensajes de correo electrónico utilizando macros maliciosos de Microsoft Office, pero también vía SMS a los teléfonos celulares, los cuales buscan robar información bancaria de los usuarios.

EvilCorp ha estado activo por más de 11 años y, a pesar del anuncio y recompensa publicada por el Departamento de Justicia estadounidense, el grupo sigue altamente activo. 

El equipo de Seguridad Ofensiva de Metabase Q, Ocelot, descubrió múltiples campañas de infección de este grupo criminal y publicó un estudio que tiene como fin explicar los detalles técnicos de cada una de las tres campañas identificadas. El objetivo de Metabase Q es que esta información permita a las organizaciones implementar controles preventivos correctivos. Desde abril del presente año, estas campañas han estado comprometiendo sitios web mexicanos a través de los cuales distribuyen el malware preferido de la organización: Dridex. Cabe destacar que, desde 2014, este malware ha extraído exitosamente la información bancaria de sus víctimas.

Para evitar esto, Metabase Q y su equipo de Seguridad Ofensiva, Ocelot, indican que el paso inicial es robustecer los procesos y tecnología, así como capacitar al personal de las organizaciones. De igual forma, se requiere evaluar los sistemas y probarlos ante un ataque de ransomware.

En este sentido, Metabase Q desarrolló su servicio de Ransomware-as-a-service (RaaS), a través del cual se emulan Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés), replicando múltiples familias de ransomware como Ryuk, Revil, DarkSide, entre otras, en su red.

El objetivo con esta simulación es fortalecer el monitoreo, la detección y las capacidades de erradicación de ransomware en las organizaciones a través de:

  • Procesos: Detección de brechas y fortalecimiento de políticas y procedimientos establecidos para reaccionar ante un incidente.
  • Gente: Capacitación al personal de sus Centros de Operaciones de Seguridad (SOC, por sus siglas en inglés) en Respuesta a Incidentes.
  • Tecnología: Identificación de brechas en sus soluciones de seguridad: SMTP Gateway, Endpoint, Lateral Movement, Event Correlation, Malicious Callbacks, etc.

Como empresa deberías preguntarte: ¿mi inversión me está brindando los resultados esperados? Recordemos que la ciberseguridad es una inversión, pero, sobre todo, es un seguro para la reputación, información y finanzas de las organizaciones alrededor del mundo.