Portada » Home » El bot Amadey está difundiendo el ransomware LockBit 3.0

El bot Amadey está difundiendo el ransomware LockBit 3.0

Este ransomware a servicio surgió como la principal amenaza en el segundo trimestre de 2022 debido a sus características únicas y su capacidad para realizar campañas maliciosas sofisticadas.

El bot Amadey, un malware que se utiliza para instalar Lockbit, se propaga a través de dos métodos: utilizando un documento de Word malicioso y utilizando un ejecutable que se disfraza de icono de Word.

El bot recibe tres comandos del servidor C2 que activa la descarga y ejecución de malware desde la fuente externa. Mientras que dos LockBits se descargan en formato PowerShell, el tercero se descarga en formato exe.

Amadey fue descubierto en 2018 como un proyecto C2C, es decir, de robo de botnet de criminal a criminal.

Los actores de amenazas están utilizando palabras clave como derechos de autor y solicitud de empleo para distribuir LockBit 3.0.

En octubre, el equipo de análisis de ASEC identificó a Amadey Bot disfrazado de un popular programa de mensajería coreano, KakaoTalk. El malware pretendía ser el archivo de instalación de KakaoTalk y se difundió a través de correos electrónicos.

En julio, se encontró una nueva versión de Amadey difundiéndose a través de una campaña de SmokeLoader. Anteriormente, solía distribuirse a través de kits de explotación de Fallout y Rig.

Antecendetes de Lockbit 3.0

LockBit 3.0 agregó a Thales a su lista de víctimas el 31 de octubre y amenazó con filtrar los datos si no se paga el rescate. Antes de Thales, el grupo RaaS había robado 1,4 TB de datos de Kingfisher Insurance.

LockBit se convirtió en la principal amenaza al acumular 103 víctimas -de 230- solo en septiembre. Además, en toda su existencia, el grupo ha atacado a 1.157 víctimas en todo el mundo.

Los investigadores recomiendan precaución ya que LockBit aparece con nuevas capacidades y métodos de distribución. Por lo cual es indispensable estar precavido frente a correos desconocidos y amenazas de archivos maliciosos.