¿Sabes qué es TrickBot y cómo se relaciona este término con algunos de los ransomwares más usados del mundo? Los ransomwares son programas maliciosos, cuya función es encriptar los archivos más importantes del ordenador de una víctima y cobrar una suma de dinero como rescate para recibir la clave de descifrado. No obstante, este tipo de malwares ha dado origen a toda una industria de operaciones ilegales que se basan en el uso de estos softwares.
En este post, hablaremos sobre uno de los grupos ilegales de hackers más persistentes de todos los tiempos. A continuación, te explicaremos qué es TrickBot y cuál ha sido la evolución de esta organización de ciberatacantes con el paso del tiempo.
¿Qué es TrickBot?
TrickBot es una organización ilegal de hackers, que ha cambiado de nombre y evolucionado con el paso del tiempo. Algunos de los alias bajo los cuales se conoce a esta organización son:
- Wizard Spider.
- Gold Blackburn.
- TEMP .MixMaster.
- Grim Spider.
- UNC 1878.
- Ryuk Group.
- Conti Ransomware Gang.
Como quizás has podido notar, por los dos últimos pseudónimos, este grupo es responsable por utilizar los ransomwares Ryuk y, actualmente, Conti para extorsionar a sus víctimas. A continuación, veremos el proceso de infección que caracteriza a los ataques de esta banda.
Proceso de infección con TrickBot
Ya hemos visto brevemente qué es TrickBot. Para entenderlo más en profundidad, veremos cómo es un proceso de infección tradicional de un ataque ejecutado por este grupo.
- Primero, TrickBot selecciona uno o varios vectores de ataque posibles para infectar a la víctima. Los más comunes son:
- Phishing.
- Troyanos.
- Vulnerabilidades de día cero.
- Maldoc.
- JavaScript.
- Después, viene un proceso característico de TrickBot, que consiste en exfiltrar datos y robar las credenciales privadas del usuario del ordenador.
- Posteriormente, ocurre la etapa de postexplotación, es decir, de moverse lateralmente a través de los servidores de una red, en búsqueda de archivos sensibles para cifrar. Esta es una característica propia de los ransomwares Ryuk y Conti.
- Luego, ocurre el despliegue del ransomware. En el caso de Conti, este le permite al atacante seleccionar detalladamente qué documentos de qué servidores encriptar y cuánto dinero exigirle a la víctima.
- Finalmente, viene la etapa de extorsión y negociación con la víctima, donde los atacantes buscan sacar la mayor cantidad de ganancia económica posible.
El grupo de hackers, TrickBot, se caracteriza también por contar con su propio software troyano, que toma el mismo nombre de la organización. Este virus es capaz de abrir un backdoor en el sistema infectado, por medio del cual ocurre la exfiltración de datos. Más adelante, en el ciberataque, TrickBot utiliza esta información para chantajear a sus víctimas.
Diferencia entre Ryuk y Conti
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaYa sabes qué es TrickBot y cómo suelen ser sus ciberataques. Ahora, hablaremos sobre las dos variantes de ransomware por las que son más reconocidos. Ryuk y Conti son ransomwares con muchas similitudes de funcionamiento y de código. Ambos malwares son capaces de escanear la red de sus víctimas y, por eso, se especializan en atacar organizaciones. Tanto Ryuk como Conti cuentan con la función de moverse lateralmente entre los servidores de una red en la fase de postexplotación.
Sin embargo, la diferencia entre Ryuk y Conti es que el segundo permite escanear y moverse a través de la red de forma manual. Es decir, Conti le permite a los atacantes seleccionar los servidores y los archivos específicos que desean cifrar. Además, este acceso también sirve para espiar y robar dicha información, por lo que pueden amenazar a las víctimas con filtrar todo lo que hayan encontrado.
¿Cómo aprender más sobre TrickBot?
Ya has aprendido qué es TrickBot y cómo funcionan sus ciberataques. Si quieres saber más y convertirte en un analista de malware profesional, aquí tenemos el curso ideal para que inicies tu proceso de formación. Ingresa en nuestro Ciberseguridad Full Stack Bootcamp y especialízate en menos de 7 meses. ¿A qué sigues esperando? ¡Inscríbete ya!