Microsoft descubre un grupo de amenazas que implementa una nueva ola de Royal Ransomware

Publicado el: 23 de noviembre.

Microsoft reveló la semana pasada que un grupo de amenazas identificado como DEV-0569 estaba detrás de una nueva ola de Royal ransomware y otro malware implementado a través de enlaces de phishing, sitios web que parecen legítimos y Google Ads.

Eludir las soluciones de seguridad es un aspecto en el que los actores de amenazas a veces enfrentan desafíos. Una forma en que pueden eludir estas soluciones es engañar a los usuarios para que los dejen entrar haciendo clic en enlaces maliciosos o descargando software dañino.

DEV-0569 utiliza ambas técnicas contra los usuarios a los que se dirige. El grupo de amenazas crea sitios web de phishing, utiliza formularios de contacto en organizaciones objetivo, aloja instaladores en sitios de descarga que parecen legítimos e implementa anuncios de Google.

“La actividad DEV-0569 utiliza archivos binarios firmados y entrega cargas útiles de malware cifradas”, explicado Microsoft en su comunicado de la semana pasada. También se sabe que el grupo utiliza en gran medida técnicas de evasión de defensa y ha seguido utilizando la herramienta de código abierto Nsudo para intentar desactivar las soluciones antivirus recientemente en campañas.

“DEV-0569 se basa notablemente en publicidad maliciosa, enlaces de phishing que apuntan a un descargador de malware que se hace pasar por instaladores de software o actualizaciones incrustadas en correos electrónicos no deseados, páginas de foros falsas y comentarios de blogs”, agregó el gigante tecnológico.

Uno de los principales objetivos de DEV-0569 es obtener acceso a dispositivos dentro de redes seguras, lo que les permitiría implementar Royal ransomware. Como resultado, el grupo podría convertirse en intermediario de acceso para otros operadores de ransomware al vender el acceso que tienen a otros piratas informáticos.

Además, el grupo utiliza Google Ads para ampliar su alcance y mezclarse con el tráfico legítimo de Internet.

“Los investigadores de Microsoft identificaron una campaña de publicidad maliciosa DEV-0569 que aprovecha los anuncios de Google que apuntan al sistema legítimo de distribución de tráfico (TDS) Keitaro, que brinda capacidades para personalizar las campañas publicitarias mediante el seguimiento del tráfico de anuncios y el filtrado basado en usuarios o dispositivos”, dijo la compañía. . “Microsoft observó que el TDS redirige al usuario a un sitio de descarga legítimo, o bajo ciertas condiciones, al sitio de descarga malicioso BATLOADER”.

Por lo tanto, esta estrategia permite a los actores de amenazas eludir los rangos de IP de las soluciones conocidas de sandboxing de seguridad mediante el envío de malware a objetivos e IP específicos.