Un actor de amenazas desconocido está utilizando una variante del ransomware Yashma para atacar a varias entidades en países de habla inglesa, Bulgaria, China y Vietnam al menos desde el 4 de junio de 2023.
Cisco Talos, en un nuevo informe, atribuye la operación con moderada confianza a un adversario de probable origen vietnamita.
"El actor de la amenaza utiliza una técnica poco común para entregar la nota de rescate", dijo el investigador de seguridad Chetan Raghuprasad. "En lugar de incrustar las cadenas de la nota de rescate en el binario, descargan la nota de rescate desde el repositorio GitHub controlado por el actor mediante la ejecución de un archivo por lotes incrustado".
Yashma, descrito por primera vez por el equipo de investigación e inteligencia de BlackBerry en mayo de 2022, es una versión renovada de otra cepa de ransomware llamada Chaos. Un mes antes de su aparición, el creador del ransomware Chaos se filtró en la naturaleza.
Un aspecto notable de la nota de rescate es su parecido con el conocido ransomware WannaCry, posiblemente hecho en un intento de ocultar la identidad del actor de la amenaza y confundir los esfuerzos de atribución. Aunque la nota menciona una dirección de monedero a la que debe efectuarse el pago, no especifica la cantidad.
La revelación se produce cuando la empresa de ciberseguridad dijo que las filtraciones de código fuente y constructores de ransomware están conduciendo a la aceleración de nuevas variantes de ransomware, lo que resulta en más ataques.
"Los constructores de ransomware suelen tener una interfaz de usuario que permite a los usuarios elegir las características subyacentes y personalizar las configuraciones para construir un nuevo ejecutable binario de ransomware sin exponer el código fuente o necesitar un compilador instalado", señaló la compañía.
"La disponibilidad de estos constructores permite a los actores novatos generar sus propias variantes personalizadas de ransomware".
El desarrollo también sigue a un aumento importante en los ataques de ransomware, con Malwarebytes registrando hasta 1900 incidentes durante el año pasado en los EE. UU., Alemania, Francia y el Reino Unido, impulsado principalmente por la "ascensión del grupo Cl0p , que ha aprovechado vulnerabilidades zro-day para amplificar sus ataques".
En un informe relacionado, Akamai descubrió que un aumento en el uso de fallas de seguridad zerp-day ; y de un día ha resultado en un aumento del 143% en el número de víctimas de ransomware en el primer trimestre de 2023 en comparación con el mismo período del año pasado.
"El grupo de ransomware Cl0p está desarrollando agresivamente vulnerabilidades de día cero, multiplicando sus víctimas por 9 año tras año", dijo la compañía . "Las víctimas de múltiples ataques de ransomware tenían más de 6 veces más probabilidades de experimentar el segundo ataque dentro de los tres meses posteriores al primero".
Pero en lo que es una señal más de la evolución del panorama de amenazas, Trend Micro reveló detalles de un ataque de ransomware de TargetCompany (también conocido como Mallox o Xollam) que utilizó una iteración de un motor ofuscador totalmente indetectable (FUD) llamado BatCloak para infectar sistemas vulnerables con troyanos de acceso remoto como Remcos RAT y mantener una presencia sigilosa en las redes objetivo.
"Después, Remcos RAT reanudará su rutina final descargando y desplegando el ransomware TargetCompany envuelto en un paquete FUD", explica la empresa.
"El uso de malware FUD ya limita la mayoría de las soluciones disponibles para esta táctica, más aún para las tecnologías off-the-shelf probablemente susceptibles a otros ataques (no sólo ransomware). Es probable que este conjunto de empaquetadores no sea el único que se desarrolle en un futuro próximo."
Fuente: thehackernews