El ransomware Ryuk se alía con TrickBot para extender su alcance

También puedes leer... Cómo evaluar las opciones de SD-WAN La Seguridad es Infinity Gestión de cuentas con privilegios para Dummies Cómo combatir las amenazas cifradas Cómo vencer al malware evasivo

Históricamente, Ryuk ha sido considerado un ransomware dirigido que busca un objetivo, ganando acceso al mismo a través de Servicios de Escritorio Remoto u otros métodos directos, como robo de credenciales, para de este modo hacerse con datos y servidores de alto perfil para obtener la mayor cantidad de rescate posible. Distintos informes señalan que sus autores han ganado cerca de 3,7 millones de dólares. Recientemente, Ryuk fue utilizado en un ataque que afectó la distribución de periódicos de grandes publicaciones como Wall Street Journal, New York Times y Los Angeles Times. Pues bien, una nueva investigación indica que los actores de Ryuk pueden estar alquilando otro malware como ‘Acceso como Servicio’ para obtener acceso a una red

En sendos informes de FireEye y CrowdStrike, los investigadores explican cómo TrickBot está siendo utilizado por otros actores para acceder a redes infectadas. Una vez que estos bots infectan un ordenador, crearían shells inversos a otros actores, como los que están detrás de Ryuk, para que puedan infiltrarse manualmente en el resto de la red e instalar sus cargas útiles. FireEye está llamando a este tipo de acceso TEMP.MixMaster, que se refiere a cualquier incidente en el que hayan visto que se instaló Ryuk luego de una infección TrickBot.

Los operadores de TrickBot estarían así alquilando su servicio a un número limitado de ciberdelincuentes que lo utilizan para obtener acceso a las redes donde está instalado TrickBot. "El grupo de administradores de TrickBot, que se sospecha tiene su base en Europa del Este, probablemente proporcionará el malware a un número limitado de cribercriminales para usar en las operaciones", afirma la investigación de FireEye.