Novedades

Una de las aseguradoras más importantes de Europa ha sido víctima de Avaddon, afectando sus operaciones de TI en Tailandia, Malasia, Hong Kong y Filipinas. Este hecho se da justo la semana después de que el FBI ya había notificado actividad creciente de este ransomware (FLASH CU-000145-MW). Conoce cómo se comporta esta amenaza y cómo protegerte.

Una de las aseguradoras más importantes de Europa ha sido víctima de Avaddon, afectando sus operaciones de TI en Tailandia, Malasia, Hong Kong y Filipinas. Este hecho se da justo la semana después de que el FBI ya había notificado actividad creciente de este ransomware (FLASH CU-000145-MW).

Los atacantes afirma haber robado 3 terabytes de datos, incluidas tarjetas de identificación, copias de pasaportes, reclamos de clientes, acuerdos reservados, reembolsos denegados, pagos a clientes, contratos e informes, identificaciones de clientes, documentos escaneados de cuentas bancarias, material reservado para hospitales y médicos (privado investigación por fraude) e informes médicos de clientes.

¿COMO SE COMPORTA?

Este ransomware compromete credenciales de inicio de sesión de acceso remoto como el protocolo de escritorio remoto (RDP) y la red privada virtual (VPN) con autenticación de factor único o RDP configurado incorrectamente, mediante campañas de phishing para entregar archivos JavaScript maliciosos. Suelen ser de baja sofisticación y contienen una amenaza que sugiere que el archivo adjunto contiene una foto comprometedora de la víctima.

Una vez que obtienen acceso a la red de la víctima, mapean la red e identifican copias de seguridad para su eliminación y / o cifrado. Utilizan malware que aumenta los privilegios, contiene un código de protección antianálisis, permite la persistencia en un sistema de la víctima y verifica que la víctima no se encuentre en la Comunidad de Estados Independientes (CEI).

Luego finaliza los servicios y procesos relacionados con la copia de seguridad y el antivirus que se ejecutan en la memoria del sistema antes de cifrar los datos de las víctimas. Finalmente cifra y exfiltra datos de la red de víctimas para extorsión, amenazando con su liberación en su sitio de filtración de TOR (avaddongun7rngel.onion) si las víctimas no pagan el rescate.

Se sabe que han utilizado las siguientes direcciones IP durante las conexiones RDP:

185.216.33.0/24, 45.145.67.0/23, 193.27.229.0/23, 217.8.117 [.] 63.

RECOMENDACIONES

• Implemente un programa y procesos de capacitación para identificar el phishing y los correos electrónicos de origen externo.
• Utilice tecnologías de ciberseguridad preventiva, con Inteligencia Artificial, basada en comportamiento y no en firmas.
• Mantenga las los dispositivos y aplicaciones parcheados y actualizados.
• Instale y actualice periódicamente el software antivirus o antimalware en todos los hosts.
• Realice copias de los datos críticos en la nube o en un disco duro externo, con acceso de doble factor de autenticación.
• Supervise los informes de amenazas cibernéticas con respecto a la publicación de credenciales de inicio de sesión VPN comprometidas y cambie las contraseñas / configuraciones, si corresponde.
• Cambie periódicamente las contraseñas de los sistemas críticos.
• Escanee correos electrónicos y archivos adjuntos para detectar y bloquear malware.

CIBERSEGURIDAD PREVENTIVA DE NUEVA GENERACIÓN

BlackBerry Cylance, basado en su poderoso motor de machine learning, fue capaz de detectar este virus sin ningún cambio de configuración, incluso antes de que fuera creado. BlackBerry Cylance detectaba esta amenaza desde marzo 2016, ¡con más 5 años de adelanto!

Conoce las soluciones en ciberseguridad para punto final con poderosos motores impulsados por I.A. para protegerte frente a este tipo de amenazas. Para más información contáctanos expertos@ransecurity.com o visita ransecurity.com

FUENTE: https://www.areteir.com/avaddon-ransomware-hits-axa/