Revenge y Orcus los troyanos de acceso remoto más utilizados en 2019

29 Agosto 2019
Alto

Investigadores de Cisco Talos descubrieron el uso de payloads en los malwares Revenge y Orcus como parte de "campañas de distribución dirigidas a organizaciones que incluyen entidades gubernamentales, organizaciones de servicios financieros, proveedores de servicios de tecnología de la información y consultorías".

Estas campañas de distribución de RevengeRAT y OrcusRAT utilizan tácticas, técnicas y procedimientos (TTP) avanzados únicos que incluyen, entre otros, ofuscación de la comunicación con el comando y control (C2), evasión de análisis y técnicas de persistencia apalancadas por cepas de malware sin archivos.

OrcusRAT y RevengeRAT son dos de los troyanos de acceso remoto (RAT) más populares en uso en todo el panorama de amenazas. Desde su aparición en 2016, varios adversarios utilizaron RevengeRAT para atacar a organizaciones e individuos en todo el mundo. El código fuente asociado con RevengeRAT se lanzó previamente al público, lo que permite a los atacantes aprovecharlo para sus propios fines maliciosos. Por lo general, hay numerosos atacantes no relacionados que intentan aprovechar este RAT para comprometer las redes corporativas con el fin de establecer un punto inicial de acceso a la red, el rendimiento del movimiento lateral, así como para filtrar información confidencial que se puede monetizar. Orcus RAT apareció en las noticias a principios de este año debido a la actividad policial canadiense relacionado con el individuo que se cree que es autor del malware.

Se recomienda lo siguiente:

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Evitar instalar programas de sitios que no sean oficiales.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #orcus #revenge #rat #malware #correoelectronico #c2 #windows #malspam


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.