Background ClickFix se ha convertido rápidamente en una táctica de ingeniería social desenfrenada. Observado por primera vez en octubre de 2023, su objetivo es engañar a los usuarios para que pegue los comandos en el cuadro de diálogo Ejecutar bajo la apariencia de verificar la conexión y la autenticidad del usuario al dominio. Dada su facilidad de uso y capacidad para evitar medidas de seguridad técnica, la adopción de ClickFix ha estado creciendo a un ritmo alarmante. [1]

Resumen ejecutivo Esta investigación comenzó después de que se observó a un usuario navegar a un sitio web legítimo que llevó al usuario con un mensaje falso de Captcha. Una vez que se realizaron las instrucciones de inmediato de Captcha Fake, un comando para un dominio malicioso condujo a scripts maliciosos y descargas de archivos en el activo del usuario. El grupo de ransomware entrelazado se observó por primera vez en septiembre de 2024. A diferencia de la mayoría de los grupos de ransomware vistos hoy que emplean ransomware como modelos de servicio (RAA), este era un grupo independiente. Obtuvieron notoriedad en octubre de 2024 cuando se atribuyeron la responsabilidad del incidente del Centro de Ciencias de la Salud de la Universidad de Texas que comprometieron los datos de aproximadamente 1,5 millones de pacientes. En enero de 2025, los investigadores de Sekoia observaron un enclavamiento expandiendo sus tácticas y aprovechando la técnica de ingeniería social ahora conocida como ClickFix. [2]

Investigación El equipo de nivel MDR de nivel observó dos alarmas en el mismo punto final del Sentinel uno que provocó una mayor investigación. Durante la investigación, nuestros analistas descubrieron las tácticas, técnicas y procedimientos de los actores de amenaza (TTP) e identificaron indicadores de compromiso (IOC) asociados con el grupo de ransomware de enclavamiento. Debido a la rápida acción del equipo MDR Levelblue, el ataque estaba contenido, y los hashes de la investigación se agregaron a la lista de bloques dentro de Sentinelone. Lea el blog completo y aprenda conclusiones clave de la investigación de LevelBlue, incluidas las recomendaciones para evitar que estos ataques afecten a su organización. Lea todo el blog

[1] https://www.group-ib.com/blog/clickfix-the-social-ingineering-technique-hackers-use-to-manipulate-victims

[2] https://blog.sekoia.io/interlock-ransomware-evolucionando- bajo- the-radar El contenido proporcionado en este documento es solo para fines informativos generales y no debe interpretarse como asesoramiento legal, regulatorio, de cumplimiento o ciberseguridad. Las organizaciones deben consultar a sus propios profesionales legales, de cumplimiento o ciberseguridad sobre obligaciones específicas y estrategias de gestión de riesgos. Si bien las soluciones de detección y respuesta de amenazas administradas de LevelBlue están diseñadas para respaldar la detección y respuesta de amenazas en el nivel de punto final, no son un sustituto para el monitoreo integral de la red, la gestión de vulnerabilidades o un programa completo de seguridad cibernética.