Ransomware dirigido a empresas del mundo

Comparte en ...

Ransomware dirigido a empresas del mundo

Un análisis de una cepa de ransomware incipiente llamada RansomHub ha revelado que se trata de una versión actualizada y renombrada del ransomware Knight, que a su vez es una evolución de otro ransomware conocido como Cyclops.

El ransomware Knight (también conocido como Cyclops 2.0) llegó por primera vez en mayo de 2023 y emplea tácticas de doble extorsión para robar y cifrar los datos de las víctimas para obtener ganancias financieras. Está operativo en múltiples plataformas, incluidas Windows, Linux, macOS, ESXi y Android.

Anunciados y vendidos en el foro de cibercrimen RAMP, se ha descubierto que los ataques que involucran el ransomware aprovechan las campañas de phishing y phishing como vector de distribución en forma de archivos adjuntos maliciosos.

Desde entonces, la operación de ransomware como servicio (RaaS) se cerró a finales de febrero de 2024, cuando su código fuente se puso a la venta , lo que plantea la posibilidad de que haya cambiado de manos a un actor diferente, que posteriormente decidió actualícelo y reinícielo bajo la marca RansomHub.

Primera víctima

RansomHub, que publicó su primera víctima ese mismo mes, ha sido vinculado a una serie de ataques de ransomware en las últimas semanas, incluidos los de Change Healthcare , Christie’s y Frontier Communications . También ha prometido abstenerse de atacar a entidades de los países de la Comunidad de Estados Independientes (CEI), Cuba, Corea del Norte y China.

«Ambas cargas útiles están escritas en Go y la mayoría de las variantes de cada familia están ofuscadas con Gobfuscate», dijo Symantec, parte de Broadcom, en un informe compartido con The Hacker News. «El grado de superposición de códigos entre las dos familias es significativo, lo que hace muy difícil diferenciarlas».

Las dos familias de ransomware comparten menús de ayuda idénticos en la línea de comandos, y RansomHub agrega una nueva opción de «suspensión» que lo deja inactivo durante un período de tiempo específico (en minutos) antes de la ejecución. También se han observado comandos de suspensión similares en las familias de ransomware Chaos/Yashma y Trigona .

Las superposiciones entre Knight y RansomHub también se extienden a la técnica de ofuscación utilizada para codificar cadenas, las notas de rescate que se eliminan después de cifrar archivos y su capacidad para reiniciar un host en modo seguro antes de iniciar el cifrado.

La única diferencia principal es el conjunto de comandos ejecutados a través de cmd.exe, aunque «la forma y el orden en que se llaman en relación con otras operaciones es el mismo», dijo Symantec.

RansomHub aprovechan fallas de seguridad

Se ha observado que los ataques de RansomHub aprovechan fallas de seguridad conocidas (por ejemplo, ZeroLogon) para obtener acceso inicial y eliminar software de escritorio remoto como Atera y Splashtop antes de la implementación del ransomware.

Según las estadísticas compartidas por Malwarebytes, la familia de ransomware se ha relacionado con 26 ataques confirmados solo en el mes de abril de 2024, lo que la sitúa detrás de Play, Hunters International, Black Basta y LockBit.

Mandiant, propiedad de Google, en un informe publicado esta semana, reveló que RansomHub está intentando reclutar afiliados que se han visto afectados por cierres recientes o estafas de salida como la de LockBit y BlackCat (también conocido como ALPHV y Noberus).

» Según se informa, una antigua filial de Noberus conocida como Notchy ahora está trabajando con RansomHub «, dijo Symantec. «Además de esto, en un reciente ataque de RansomHub se utilizaron herramientas previamente asociadas con otra filial de Noberus conocida como Scattered Spider «.

«La velocidad a la que RansomHub ha establecido su negocio sugiere que el grupo puede estar formado por operadores veteranos con experiencia y contactos en el mundo cibernético».

Ransomware en 2023

El desarrollo se produce en medio de un aumento en la actividad de ransomware en 2023 en comparación con una «ligera caída» en 2022, incluso cuando se descubrió que aproximadamente un tercio de las 50 nuevas familias observadas en el año eran variantes de familias de ransomware previamente identificadas, lo que indica el aumento. prevalencia de la reutilización de código, superposiciones de actores y cambios de marca.

«En casi un tercio de los incidentes, el ransomware se implementó dentro de las 48 horas posteriores al acceso inicial del atacante», dijeron los investigadores de Mandiant . «El setenta y seis por ciento (76%) de las implementaciones de ransomware se llevaron a cabo fuera del horario laboral, y la mayoría ocurrió temprano en la mañana».

Estos ataques también se caracterizan por el uso de herramientas de escritorio remoto legítimas y disponibles comercialmente para facilitar las operaciones de intrusión en lugar de depender de Cobalt Strike.

«La creciente dependencia observada en herramientas legítimas probablemente refleja los esfuerzos de los atacantes para ocultar sus operaciones de los mecanismos de detección y reducir el tiempo y los recursos necesarios para desarrollar y mantener herramientas personalizadas», dijo Mandiant.

El repunte de los ataques de ransomware sigue a la aparición de nuevas variantes de ransomware como BlackSuit , Fog y ShrinkLocker, el último de los cuales se ha observado implementando un Visual Basic Script (VBScript) que aprovecha la utilidad BitLocker nativa de Microsoft para el cifrado de archivos no autorizados en ataques de extorsión. apuntando a México, Indonesia y Jordania.

ShrinkLocker recibe su nombre por su capacidad para crear una nueva partición de inicio reduciendo el tamaño de cada partición disponible que no sea de inicio en 100 MB, convirtiendo el espacio no asignado en una nueva partición primaria y usándola para reinstalar los archivos de inicio para habilitar recuperación.

«Este actor de amenazas tiene un amplio conocimiento del lenguaje VBScript y de las funciones internas y utilidades de Windows, como WMI, diskpart y bcdboot», dijo Kaspersky en su análisis de ShrinkLocker, señalando que probablemente «ya tenían control total del sistema de destino». cuando se ejecutó el script.»

 

 

¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter LinkedIn para leer más contenido que publicamos o contáctanos.

 

Comparte en ...
Scroll al inicio