viernes , octubre 22 2021
Sprite Spider: uno de los actores de ransomware más destructivos

Sprite Spider: uno de los actores de ransomware más destructivos

En la actualidad, Sprite Spider está a punto de convertirse en uno de los mayores actores de amenazas de ransomware de 2021 y tiene un perfil de amenaza similar al de los actores de amenazas persistentes avanzadas hace cinco o diez años.

El surgimiento de Sprite Spider como una amenaza sofisticada no es sorprendente dado que, al igual que muchas otras bandas de ransomware organizadas, están llenas de piratas informáticos que a menudo son empleados de manera lucrativa por actores de amenazas de estados-nación.

Sprite Spider comenzó usando un troyano bancario llamado Shifu en 2015, agregando un cargador de malware llamado Vatet alrededor de 2017. En 2018, la banda implementó un troyano de acceso remoto llamado PyXie. En 2019, el grupo evolucionó hasta el punto en que implementó un ransomware llamado DEFRAY777.

En este punto, los investigadores de CrowdStrike vincularon a Shifu, Vatet y PyXie a los ataques de ransomware DEFRAY777. Se dieron cuenta de que toda la actividad de estos componentes estaba vinculada a un solo actor de amenaza, que había estado volando por debajo del radar.

Cómo funciona el ransomware Sprite Spider

La pandilla a menudo puede escapar a la detección principalmente porque su código parece benigno y se esconde en proyectos de código abierto como Notepad ++. Lo único que Sprite Spider escribe en el disco es Vatet, lo que hace aún más difícil para los analistas rastrearlos durante la respuesta a incidentes.

A pesar de su sigilo y múltiples componentes, Sprite Spider muestra algunas características mundanas. DEFRAY777 no es un ransomware sofisticado, pero hace el trabajo. Sprite Spider también llegó algo tarde al juego dedicado al sitio de fugas, esperando hasta finales de noviembre de 2020 para lanzar su propio sitio para comunicarse con las víctimas, meses después de que otros actores de ransomware comenzaran a lanzar estos sitios.

La amenaza real de Sprite Spider se intensificó en julio de 2020 cuando comenzó a apuntar a los hosts ESXi, que generalmente son implementados por grandes organizaciones que utilizan tecnología de hipervisor completa desarrollada por VMware para administrar múltiples máquinas virtuales. DEFRAY777 implementado en hosts ESXi utiliza credenciales robadas para autenticarse en vCenter, que es la interfaz web para administrar varios dispositivos ESXi y sitios web alojados en esos dispositivos.

Acerca Nydia Mejía

Ver también

Reconocen iniciativas a favor del medio ambiente y promoción del deporte

Reconocen iniciativas a favor del medio ambiente y promoción del deporte

León, Gto. 09 de junio de 2021.- El gobernador de Guanajuato, Diego Sinhue Rodríguez Vallejo, participó …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *