{"id":27501,"date":"2022-08-16T13:15:25","date_gmt":"2022-08-16T11:15:25","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27501"},"modified":"2022-08-16T13:15:25","modified_gmt":"2022-08-16T11:15:25","slug":"andariel-dtrack-maui","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/andariel-dtrack-maui\/27501\/","title":{"rendered":"Andariel ataca con DTrack y Maui"},"content":{"rendered":"

Nuestros expertos han investigado la actividad de Andariel, el cual se cree es un subgrupo de Lazarus APT. Los cibercriminales utilizan el malware<\/em> DTrack y el ransomware<\/em> Maui para atacar empresas por todo el mundo. Como es t\u00edpico en Lazarus, el grupo ataca para obtener beneficios financieros, en esta ocasi\u00f3n mediante demandas de rescate.<\/p>\n

Andariel y sus objetivos<\/h2>\n

Nuestros expertos llegaron a la conclusi\u00f3n de que, en lugar de centrarse en un sector concreto, el grupo Andariel es capaz de atacar cualquier empresa. En junio, la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA en ingl\u00e9s) inform\u00f3<\/a> que el ransomware<\/em> Maui est\u00e1 dirigido principalmente a empresas y organizaciones gubernamentales del sector sanitario estadounidense. Sin embargo, nuestro equipo tambi\u00e9n detect\u00f3 al menos un ataque a una empresa inmobiliaria en Jap\u00f3n, adem\u00e1s de distintas v\u00edctimas en India, Vietnam y Rusia.<\/p>\n

Las herramientas de Andariel<\/h2>\n

La herramienta principal del grupo Andariel es su tradicional malware<\/em>, Dtrack. Este recopila informaci\u00f3n sobre una v\u00edctima y la env\u00eda a un host<\/em> remoto. Entre otras cosas, Dtrack recopila el historial de b\u00fasqueda del navegador y lo guarda en un archivo por separado. La variante que utiliza Andariel en sus ataques no solo es capaz de enviar la informaci\u00f3n recopilada al servidor de los cibercriminales mediante HTTP, sino que tambi\u00e9n la almacena en un host<\/em> remoto en la red de la v\u00edctima.<\/p>\n

Cuando los atacantes encuentran datos dignos de atenci\u00f3n, el ransomware<\/em> Maui entra en escena. Habitualmente, los ataques de hosts<\/em> se detectan 10 horas despu\u00e9s de la activaci\u00f3n del malware<\/em> DTrack. Nuestros colegas de Stairwell han estudiado<\/a> sus muestras y deducen que los operadores controlan el ransomware<\/em> de forma manual, o sea, seleccionan qu\u00e9 datos van a cifrar.<\/p>\n

Otra herramienta que los atacantes parecen estar utilizando es 3Proxy. Este servidor proxy leg\u00edtimo, gratuito y multiplataforma es de inter\u00e9s para los atacantes debido, probablemente a su reducido tama\u00f1o (s\u00f3lo unos cientos de kilobytes). Este tipo de herramienta puede utilizarse para mantener el acceso remoto a un ordenador infectado.<\/p>\n

Andariel y la propagaci\u00f3n de su malware<\/em><\/h2>\n

Los cibercriminales explotan versiones sin parches de servicios p\u00fablicos en l\u00ednea. En uno de estos casos, el malware<\/em> descarg\u00f3 un HFS (un servidor de archivos HTTP): los atacantes usaron un exploit<\/em> desconocido que les permiti\u00f3 ejecutar un script<\/em> de Powershell desde un servidor remoto. En otro, pudieron infectar un servidor WebLogic mediante un exploit<\/em> para la vulnerabilidad CVE-2017-10271, lo que, en definitiva, les permiti\u00f3 ejecutar un script.<\/p>\n

Para obtener una descripci\u00f3n t\u00e9cnica m\u00e1s detallada sobre el ataque y las herramientas utilizadas, as\u00ed como indicadores de compromiso, consulta este post en Securelist<\/a>.<\/p>\n

\u00bfC\u00f3mo mantenerse a salvo?<\/h2>\n

Primero, aseg\u00farate de que todos los dispositivos corporativos, incluyendo los servidores, est\u00e9n equipados con soluciones de seguridad fiables<\/a>. Adem\u00e1s, ser\u00eda interesante y recomendable pensar en estrategias y medidas anti-ransomware<\/a> en caso de que surja una infecci\u00f3n.<\/p>\n\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

El grupo Andariel ataca empresas con varias herramientas maliciosas.<\/p>\n","protected":false},"author":2581,"featured_media":27502,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[403,2571,401],"class_list":{"0":"post-27501","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-extorsion","10":"tag-lazarus","11":"tag-ransomware"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/andariel-dtrack-maui\/27501\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/andariel-dtrack-maui\/24444\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/andariel-dtrack-maui\/19910\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/andariel-dtrack-maui\/26881\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/andariel-dtrack-maui\/24788\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/andariel-dtrack-maui\/25184\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/andariel-dtrack-maui\/27158\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/andariel-dtrack-maui\/33817\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/andariel-dtrack-maui\/10923\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/andariel-dtrack-maui\/45130\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/andariel-dtrack-maui\/19280\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/andariel-dtrack-maui\/19867\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/andariel-dtrack-maui\/29139\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/andariel-dtrack-maui\/28412\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/andariel-dtrack-maui\/25332\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/andariel-dtrack-maui\/30847\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/andariel-dtrack-maui\/30556\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27501","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27501"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27501\/revisions"}],"predecessor-version":[{"id":27504,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27501\/revisions\/27504"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27502"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27501"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27501"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27501"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}