Al hilo de las informaciones recientemente publicadas sobre un nuevo ataque cibernético en el que se habría visto afectada la compañía de seguridad española Prosegur, los expertos de S21sec, la mayor compañía Pure Player de servicios de ciberseguridad de la península Ibérica, intentan aportar su visión como ciberexpertos y profundos conocedores de incidentes de similares características acaecidos anteriormente en España.
- Tipología de ataque: Según los expertos de S21sec, en base a las informaciones publicadas que hablan de una posible infección por Emotet/Trickbot, y el posterior despliegue del ransomware Ryuk, destacan: “Cualquier ciberataque en el que se vea implicada una APT (Amenaza Persistente Avanzada) con descarga final de ransomware, tendríamos que considerarlo de riesgo muy alto, ya que realiza una combinación de ambas técnicas que consisten: en una intrusión silenciosa durante mucho tiempo en una organización (APT) junto con un ataque tradicional de Ransomware” , destaca Jorge Hurtado, vicepresidente de Servicios Gestionados de S21sec.
- Modo de actuación: Los ciberexpertos de S21sec enfatizan que el modo de actuación de Ryuk suele consistir en una infección inicial de entrada a través de un correo electrónico que contiene un malware Emotet, despliegue de Trickbot y en algunos casos Empire como framework de post-explotación. Los movimientos laterales se producen mediante la captura (“Memory Scraping”) de credenciales en Memoria y la utilización de las mismas para la ejecución remota (psexec) así como la explotación de vulnerabilidades comunes.
- Propagación: En otros incidentes similares atendidos por el equipo de Respuesta ante Incidentes de S21sec, se han visto movimientos laterales de manera masiva hacia todo el entorno visible de los equipos afectados, incluyendo saltos entre organizaciones y dominios, por lo que “en estos casos siempre se recomienda realizar una Evaluación de Compromiso con los indicadores de Amenaza disponibles, siendo urgente realizarlo en caso de entidades con conexión a la compañía atacada”, subraya Hurtado.
