A pesar de los derribos parcialmente exitosos en el pasado, un aumento en las infecciones de Trickbot ha comprometido más de 140,000 sistemas en clientes de algunas de las organizaciones más importantes del mundo, incluidas Amazon, Google y Microsoft desde fines de 2020, pero ha dejado a las entidades en el Reino Unido en gran medida ilesas.
Las nuevas cifras publicadas por Check Point Research revelan cómo el notorio troyano bancario convertido en cargador de malware está dirigido a clientes de organizaciones de alto perfil y generalmente confiables para robar y comprometer sus datos más confidenciales.
La lista de las 60 corporaciones más atacadas incluye a American Express, AOL, Barclays, Capital One, Citibank, JPMorgan Chase, LexisNexis, Paypal, Wells Fargo y Yahoo, y las empresas en Asia-Pacífico (APAC) parecen ser las más afectadas, con Las organizaciones en China resultaron ser las más vulnerables.
En general, una de cada 45, o el 2,2 % de las organizaciones globales, se ha visto afectada por Trickbot, el 3,3 % en APAC, el 2,1 % en América Latina, el 1,9 % en Europa, el 1,8 % en África y el 1,4 % en América del Norte. Sin embargo, país por país, el Reino Unido emerge relativamente poco afectado, lo que puede interpretarse como un buen reflejo de los equipos de seguridad británicos.
“Los números de Trickbot han sido asombrosos. Hemos documentado más de 140 000 máquinas dirigidas a los clientes de algunas de las empresas más grandes y de mayor reputación del mundo”, dijo Alexander Chailytko, gerente de investigación e innovación en seguridad cibernética de Check Point.
“Los autores de Trickbot tienen las habilidades para abordar el desarrollo de malware desde un nivel muy bajo y prestar atención a los pequeños detalles. Trickbot ataca a víctimas de alto perfil para robar las credenciales y brindar a sus operadores acceso a los portales con datos confidenciales donde pueden causar aún más daño.
“Al mismo tiempo, sabemos que los operadores detrás de la infraestructura también tienen mucha experiencia en el desarrollo de malware a un alto nivel. La combinación de estos dos factores es lo que permite que Trickbot siga siendo una amenaza peligrosa durante más de cinco años. Insto encarecidamente a las personas a que solo abran documentos de fuentes confiables y usen diferentes contraseñas en diferentes sitios web”, dijo.
Trickbot se distribuye a través de correos electrónicos de phishing que contienen documentos maliciosos que, si se abren, permiten la ejecución de macros para descargar la carga útil principal de Trickbot para establecer la persistencia en las máquinas infectadas. Los módulos auxiliares de Trickbot con diferentes funcionalidades, actualmente se conocen hasta 20, pueden ser cargados según sea necesario por los actores de amenazas.
Trickbot es generalmente muy selectivo en la forma en que elige sus objetivos e incorpora varias funciones, como herramientas de antianálisis y antidesofuscación, para que sea más difícil de detectar y detener.
A pesar de que la ronda actual de infecciones parece estar dando un amplio margen al Reino Unido, Trickbot puede detenerse en seco prestando atención a algunos principios básicos de higiene cibernética. Los usuarios solo deben abrir los documentos que reciben de fuentes confiables y no deben habilitar la ejecución de macros dentro de los documentos; mantener actualizados los sistemas operativos y antivirus; y use contraseñas diferentes y seguras en diferentes sitios web.
Jamie Akhtar, CEO y fundador de Cybersmart, comentó: “La evolución continua de Trickbot es un desarrollo muy preocupante, particularmente dado que ahora se puede usar para realizar una variedad de ataques.
“Los ataques de Trickbot se basan en aprovechar los nombres y la marca de instituciones financieras conocidas, por lo que instamos a todos a revisar cualquier comunicación que reciban que afirme ser de un banco. Si algo no parece correcto, probablemente no lo sea. Esté atento a las comunicaciones que parezcan inusuales; por ejemplo, ¿normalmente su banco le enviaría un correo electrónico? Y, ante la duda, consulta siempre con tu proveedor.”