Ciberseguridad 360 | Ciberataques recientes de NoName cuentan con el nuevo malware RansomHub

La banda de ransomware NoName lleva m�s de tres a�os intentando labrarse una reputaci�n dirigi�ndose a peque�as y medianas empresas de todo el mundo con sus cifradores y ahora podr�a estar trabajando como afiliada de RansomHub.

La banda utiliza herramientas personalizadas conocidas como la familia de malware Spacecolon, y las despliega tras obtener acceso a una red mediante m�todos de fuerza bruta, as� como explotando vulnerabilidades antiguas como EternalBlue (CVE-2017-0144) o ZeroLogon (CVE-2020-1472).

En ataques m�s recientes, NoName utiliza el ransomware ScRansom, que sustituy� al cifrador Scarab. Adem�s, el actor de la amenaza trat� de hacerse un nombre experimentando con el constructor filtrado del ransomware LockBit 3.0, creando un sitio similar de filtraci�n de datos y utilizando notas de rescate similares.

El ransomware ScRansom

La empresa de ciberseguridad ESET sigue la pista de la banda NoName como CosmicBeetle y ha estado rastreando sus actividades desde 2023, con la aparici�n de ScRansom, un malware de encriptaci�n de archivos basado en Delphi.

En un informe publicado hoy, los investigadores se�alan que, aunque ScRansom (parte de la familia de malware Spacecolon) no es tan sofisticado como otras amenazas del panorama del ransomware, es una amenaza que sigue evolucionando.

El malware admite el cifrado parcial con diferentes modos de velocidad para permitir a los atacantes cierta versatilidad, y tambi�n cuenta con un modo �BORRAR� que sustituye el contenido de los archivos por un valor constante, haci�ndolos irrecuperables.

ScRansom puede cifrar archivos en todas las unidades de disco, incluidas las fijas, remotas y extra�bles, y permite al operador determinar qu� extensiones de archivo atacar a trav�s de una lista personalizable.

Antes de lanzar el cifrador, ScRansom mata una lista de procesos y servicios en el host de Windows, incluyendo Windows Defender, Volume Shadow Copy, SVCHost, RDPclip, LSASS y procesos asociados con herramientas de VMware.

ESET se�ala que el esquema de cifrado de ScRansom es bastante complicado, utilizando una combinaci�n de AES-CTR-128 y RSA-1024, y una clave AES adicional generada para proteger la clave p�blica.

Esquema de cifrado de ScRansom

Fuente: ESET

Sin embargo, el proceso de varios pasos que implica m�ltiples intercambios de claves a veces introduce errores que pueden hacer que no se descifren los archivos aunque se utilicen las claves correctas.

Adem�s, si el ransomware se ejecuta por segunda vez en el mismo dispositivo, o en una red de varios sistemas distintos, se generar�n nuevos conjuntos de claves �nicas e ID de v�ctima, lo que har� que el proceso de descifrado sea bastante complejo.

Un caso que destaca ESET es el de una v�ctima que recibi� 31 ID de descifrado y AES ProtectionKeys tras pagar ScRansom, y a�n as� no pudo recuperar todos los archivos cifrados.

�Este enfoque de descifrado es t�pico de un actor de amenazas de ransomware inmaduro. Las bandas experimentadas prefieren que su proceso de descifrado sea lo m�s sencillo posible para aumentar las probabilidades de un descifrado correcto, lo que aumenta su reputaci�n y la probabilidad de que las v�ctimas paguen.� - ESET

NoName ha estado utilizando la fuerza bruta para obtener acceso a las redes, pero el actor de la amenaza tambi�n explota varias vulnerabilidades que es m�s probable que est�n presentes en entornos SMB:

CVE-2017-0144 (alias EternalBlue),
CVE-2023-27532 (una vulnerabilidad en un componente de Veeam Backup & Replication)
CVE-2021-42278 y CVE-2021-42287 (vulnerabilidades de escalada de privilegios de AD) a trav�s de noPac
CVE-2022-42475 (una vulnerabilidad en FortiOS SSL-VPN)
CVE-2020-1472 (tambi�n conocido como Zerologon)

Un informe reciente de Pure7, una empresa de ciberseguridad de Turqu�a, tambi�n menciona que CVE-2017-0290 tambi�n se ha explotado en ataques NoName a trav�s de un archivo por lotes (DEF1.bat) que realiza cambios en el Registro de Windows para desactivar funciones, servicios o tareas de Windows Defender.

NoName despliega herramientas RansomHub

El ascenso de NoName al estatus de afiliado de RansomHub fue precedido por una serie de movimientos que mostraban la dedicaci�n de la banda al negocio del ransomware. Dado que ScRansom no era un nombre establecido en la escena, la banda decidi� adoptar un enfoque diferente para aumentar su visibilidad.

En septiembre de 2023, CosmicBeetle cre� un sitio de extorsi�n en la web oscura llamado �NONAME�, que era una copia modificada del sitio de fuga de datos (DLS) de LockBit que inclu�a v�ctimas realmente comprometidas por LockBit, no por ScRansom, seg�n descubrieron los investigadores tras comprobar varios servicios de seguimiento de DLS.

El portal de la marca NONAME

Fuente: ESET

En noviembre de 2023, el actor de la amenaza intensific� sus esfuerzos de suplantaci�n registrando el dominio lockbitblog[.]info y marcando el DLS con el tema y el logotipo de LockBit.

Clon LockBit 3.0 sitio operado por CosmicBeetle

Fuente: ESET

Los investigadores tambi�n descubrieron algunos ataques recientes en los que se despleg� una muestra de LockBit, pero la nota de rescate ten�a un ID de v�ctima que ya hab�an vinculado a CosmicBeetle. Adem�s, el conjunto de herramientas del incidente coincid�a con el malware atribuido al actor de la amenaza CosmicBeetle/NoName.

�Utilizar constructores filtrados es una pr�ctica com�n para las bandas de ransomware inmaduras. Les permite abusar de la marca de sus competidores bien establecidos a la vez que les proporciona una muestra de ransomware que suele funcionar correctamente� - ESET.

Mientras investigaban un incidente de ransomware que comenz� a principios de junio con un despliegue fallido de ScRansom, los investigadores de ESET descubrieron que el actor de la amenaza ejecut� en la misma m�quina menos de una semana despu�s el EDR killer de RansomHub, una herramienta que permite escalar privilegios y desactivar agentes de seguridad desplegando un controlador leg�timo y vulnerable en los dispositivos objetivo.

Dos d�as despu�s, el 10 de junio, los hackers ejecutaron el ransomware de RansomHub en la m�quina comprometida.

Los investigadores destacan el m�todo de extracci�n del EDR killer, t�pico de CosmicBeetle y no de un afiliado de RansomHub.

Dado que no hay filtraciones p�blicas del c�digo de RansomHub o de su constructor, los investigadores de ESET �creen con mediana confianza que CosmicBeetle se inscribi� como un nuevo afiliado de RansomHub.�

Aunque la afiliaci�n con RanssomHub no es segura, ESET afirma que el cifrador ScRansom est� en desarrollo activo. Combinado con el cambio de ScRansom a LockBit, indica que CosmicBeetle no da se�ales de rendirse.

Fuente: bleepingcomputer