Equipos de seguridad usan trucos de pandillas de ransomware en su contra
Diversas empresas de seguridad han revelado sus métodos para interrumpir las operaciones de un grupo de cibercriminales, llamado Gootloader, los cuales comprometen a empresas y organizaciones, vendiendo sus accesos a otros actores maliciosos. Gootloader es conocido por distribuir malware y ha estado en funcionamiento durante años, así que los investigadores han recopilado evidencias de que la pandilla de ransomware REvil trabajó con Gootloader entre los años 2019 y 2022.
Este grupo evolucionó a partir de un troyano bancario conocido como Gootkit, que se distribuía principalmente en Europa desde el 2010. No obstante, en 2020, comenzó a emplearse cada vez más para distribuir una variedad importante de software criminal, incluidos spyware y ransomware.
Los hackers maliciosos utilizan una táctica conocida como “envenenamiento de optimización de motores de búsqueda”, con el fin de comprometer blogs legítimos, especialmente blogs de WordPress y agregar contenido malicioso en forma de enlaces a documentos infectados.
El grupo ciberdelincuente Gootloader, filtra las conexiones a las publicaciones de blog contaminadas y bloquea la visualización de las publicaciones maliciosas para ciertos usuarios. Esto se logra al bloquear direcciones IP numéricamente cercanas a la dirección registrada en una cuenta de WordPress relevante.
Los atacantes se centran en el secuestro de blogs relacionados con ciertos temas, para reducir su grupo de víctimas potenciales y apuntar a industrias o sectores específicos.
Si necesitas protección de sistemas informáticos de primer orden, TIC Defense pone a tu disposición un gran número de soluciones y herramientas de seguridad, las cuales se enfocan en prevenir y dar respuesta rápida a las amenazas, riesgos y ciberataques perpetrados por hackers maliciosos. Además, tenemos políticas de concientización que se adaptan a las necesidades de tu organización.
El grupo cibercriminal se encarga de la distribución de malware y otros productos maliciosos
Las operaciones de Gootloader usan un sistema de bloqueo para distribuir el malware de manera selectiva. Solo afecta a personas en ciertos países, hasta ahora, y solo se dirige a dispositivos que tengan el sistema operativo Windows. Además, los usuarios solo pueden descargar el malware una vez al día.
Sin embargo, los investigadores de ciberseguridad descubrieron que este mecanismo de defensa también puede usarse en su contra. Pueden fingir una visita a la página de carga útil como cualquier dirección IP en Internet, pueden bloquear esas direcciones IP y evitar que nadie vea el malware del grupo de cibercriminales.
Los especialistas de seguridad decidieron hacer públicos sus hallazgos para crear conciencia y ayudar a los defensores de otras empresas a proteger las direcciones IP. Esto permitirá que un conjunto más amplio de servicios de monitoreo de malware detecte las páginas infectadas con el malware. Si los atacantes eliminan sus propias listas de bloqueo, los escáneres podrán detectar más muestras del malware.
El enfoque de los especialistas es dar a conocer amenazas y riesgos
Cabe recordar que Gootloader es una empresa criminal que compromete organizaciones y vende su acceso a otros atacantes para que puedan perpetrar ciberataques. Emplea tácticas como el envenenamiento de optimización de motores de búsqueda para distribuir malware a través de blogs legítimos, filtrando las conexiones y también bloquea la visualización de las publicaciones maliciosas.
No obstante, un equipo completo de investigadores de ciberseguridad han descubierto múltiples formas de interrumpir las operaciones de esta banda, bloqueando las direcciones IP y creando conciencia para ayudar a proteger las redes y detectar el malware.
