Ciberseguridad 360 | La nueva variante del ransomware BlackCat adopta herramientas avanzadas de Impacket y RemCom

Microsoft revel� el jueves que encontr� una nueva versi�n del ransomware BlackCat (alias ALPHV y Noberus) que incrusta herramientas como Impacket y RemCom para facilitar el movimiento lateral y la ejecuci�n remota de c�digo.

"La herramienta Impacket tiene m�dulos de volcado de credenciales y ejecuci�n remota de servicios que podr�an utilizarse para un amplio despliegue del ransomware BlackCat en entornos objetivo", se�al� el equipo de inteligencia de amenazas de la compa��a en una serie de publicaciones en X (antes Twitter).

"Esta versi�n de BlackCat tambi�n tiene el RemCom hacktool incrustado en el ejecutable para la ejecuci�n remota de c�digo. El archivo tambi�n contiene credenciales de objetivos comprometidos codificadas que los actores utilizan para el movimiento lateral y el posterior despliegue de ransomware."

RemCom, anunciada como una alternativa de c�digo abierto a PsExec, ha sido utilizada en el pasado por actores de amenazas de estado-naci�n chinos e iran�es como Dalbit y Chafer (tambi�n conocido como Remix Kitten) para moverse por los entornos de las v�ctimas.

Redmond dijo que comenz� a observar la nueva variante en ataques realizados por un afiliado de BlackCat en julio de 2023.

Esta novedad se produce m�s de dos meses despu�s de que IBM Security X-Force revelara detalles de la versi�n actualizada de BlackCat, llamada Sphynx, que apareci� por primera vez en febrero de 2023 con una velocidad de cifrado y un sigilo mejorados, lo que apunta a los continuos esfuerzos realizados por los actores de amenazas para refinar y retocar el ransomware.

A finales de mayo de 2023, IBM Security X-Force se�al� que "la muestra de ransomware BlackCat contiene algo m�s que funciones de ransomware, ya que puede funcionar como un 'kit de herramientas'". "Una cadena adicional sugiere que las herramientas se basan en herramientas de Impacket".

El grupo de hackers, que inici� sus operaciones en noviembre de 2021, est� marcado por una evoluci�n constante, habiendo lanzado m�s recientemente una API de fuga de datos para impulsar la visibilidad de sus ataques. Seg�n el informe Mid-Year Threat Review for 2023 de Rapid7, a BlackCat se le atribuyen 212 de un total de 1.500 ataques de ransomware.

No se trata s�lo de BlackCat, ya que el grupo de amenazas de ransomware Cuba (tambi�n conocido como COLDRAW) tambi�n ha sido observado utilizando un amplio conjunto de herramientas de ataque que incluyen BUGHATCH, un descargador personalizado; BURNTCIGAR, un asesino antimalware; Wedgecut, una utilidad de enumeraci�n de hosts; Metasploit; y marcos Cobalt Strike.

BURNTCIGAR, en particular, presenta modificaciones bajo el cap� para incorporar una lista codificada con hash de procesos objetivo que deben finalizar, probablemente en un intento de impedir el an�lisis.

Se dice que uno de los ataques organizados por el grupo a principios de junio de 2023 utiliz� como armas CVE-2020-1472 (Zerologon) y CVE-2023-27532, un fallo de alta gravedad en el software Veeam Backup & Replication que ya hab�a sido explotado anteriormente por la banda FIN7, para el acceso inicial.

La compa��a canadiense de ciberseguridad BlackBerry dijo que marca el "primer uso observado del grupo de un exploit para la vulnerabilidad de Veeam CVE-2023-27532."

"Los operadores de ransomware de Cuba contin�an reciclando la infraestructura de red y utilizan un conjunto b�sico de TTP que han ido modificando sutilmente de campa�a en campa�a, a menudo adoptando componentes f�cilmente disponibles para actualizar su conjunto de herramientas cuando surge la oportunidad", a�adi�.

El ransomware sigue siendo una importante fuente de ingresos para los actores de amenazas con motivaciones financieras, y su sofisticaci�n y cantidad aumentaron en el primer semestre de 2023 m�s que en todo 2022, a pesar de la intensificaci�n de los esfuerzos de las fuerzas de seguridad para acabar con �l.

Algunos grupos tambi�n han empezado a pasar del cifrado a la mera exfiltraci�n y el rescate o, alternativamente, a recurrir a la triple extorsi�n, en la que los ataques van m�s all� del cifrado y el robo de datos para chantajear a los empleados o clientes de la v�ctima y llevar a cabo ataques DDoS para ejercer m�s presi�n.

Otra t�ctica notable es la de atacar a los proveedores de servicios gestionados (MSP) como puntos de entrada para violar las redes corporativas descendentes, como demuestra una campa�a de ransomware de Play dirigida a los sectores financiero, de software, legal y de transporte y log�stica, as� como a entidades estatales, locales, tribales y territoriales (SLTT) de Estados Unidos, Australia, Reino Unido e Italia.

Seg�n Adlumin, los ataques aprovechan "el software de monitorizaci�n y gesti�n remotas (RMM) utilizado por los proveedores de servicios para obtener acceso directo al entorno de un cliente, eludiendo la mayor�a de sus defensas", lo que permite a los autores de las amenazas acceder a las redes de forma privilegiada y sin restricciones.

El abuso repetido del software RMM leg�timo por parte de los actores de amenazas ha llevado al gobierno de EE.UU. a publicar un Plan de Ciberdefensa para mitigar las amenazas al ecosistema RMM.

"A trav�s del software RMM, los ciberdelincuentes pueden introducirse en los servidores de los proveedores de servicios gestionados (MSP) o de los proveedores de servicios de seguridad gestionada (MSSP) y, por extensi�n, causar impactos en cascada en las peque�as y medianas empresas clientes de MSP/MSSP", advirti� la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos.

Fuente: thehackernews