Ataques malware recientes: Grandoreiro, Mekotio y DarkSide

Ataques malware recientes: Grandoreiro, Mekotio y DarkSide

En los últimos meses ha habido dos campañas a través de email relacionados con los troyanos bancarios Grandoreiro y Mekotio que se han intensificado durante las últimas semanas. También ha irrumpido con fuerza el ransomware DarkSide.

Desde la pandemia del Covid-19, parece que los ataques a través de malware se han incrementado. Ya han sido varias las empresas atacadas en las últimas semanas (Adif, Mapfre, Garmin…)

En esta ocasión, comentaremos los ataques producidos en los últimos meses en España por dos troyanos bancarios y un ransomware de reciente aparición.

 

Grandoreiro y Mekotio

Ambos llevan varios meses en acción, pero en las últimas semanas parece que sus ataques se han centrado más en España, y eso es debido a que están sacando rédito.

Ambos tienen una manera muy similar de trabajar: llega un mail suplantando a alguna empresa (Vodafone…) u organismo oficial (Agencia Tributaria…) comentando que hay un cobro pendiente de realizar y con un enlace para descargar un archivo ZIP desde Dropbox que según se comenta en el mail contiene un comprobante fiscal digital. Se ha comprobado mediante whois que el dominio del enlace es de reciente creación y su país de origen es Brasil.

Lo que realmente se descarga a través de ese ZIP son dos archivos, siendo uno de ellos un MSI que instalará el troyano, el cual robará sus datos de banca online.

Los mails de ambos troyanos son casi calcados ya que usan las mismas plantillas y sus técnicas de ataque y scripts son muy similares por lo que da a entender que los distintos grupos cibercriminales están colaborando entre ellos.

 

DarkSide

También ha entrado en escena en los últimos meses DarkSide, ransomware de reciente creación, pero muy efectivo.

Según parece está siendo dirigido a empresas que puedan pagar entre 200.000 € y 1.000.000 €, pero el grupo cibercriminal que lo está usando dice que no será dirigido contra hospitales, escuelas, universidades, organizaciones sin ánimo de lucro ni al sector público.

El modo de actuación de estos ciberdelincuentes consiste en extraer los datos de la empresa, pedir un rescate y, en el caso de que éste no se efectúe publicarían la información almacenándola durante unos meses y notificando de la brecha de seguridad a clientes y socios de la empresa.

Desde SCI Serviclients recordamos la necesidad de prevenir cualquier ataque, para ello ponemos a su disposición nuestro departamento de ciberseguridad para que le puedan asesorar convenientemente. Pida ya presupuesto sin compromiso.

 FUENTES: ESET y Computerworld