builderall


Microsoft reveló el jueves que encontró una nueva versión del ransomware BlackCat (alias ALPHV y Noberus) que incrusta herramientas como Impacket y RemCom para facilitar el movimiento lateral y la ejecución remota de código.


"La herramienta Impacket tiene módulos de volcado de credenciales y ejecución remota de servicios que podrían utilizarse para un amplio despliegue del ransomware BlackCat en entornos objetivo", señaló el equipo de inteligencia de amenazas de la compañía en una serie de publicaciones en X (antes Twitter).


"Esta versión de BlackCat también tiene el RemCom hacktool incrustado en el ejecutable para la ejecución remota de código. El archivo también contiene credenciales de objetivos comprometidos codificadas que los actores utilizan para el movimiento lateral y el posterior despliegue de ransomware."


RemCom, anunciada como una alternativa de código abierto a PsExec, ha sido utilizada en el pasado por actores de amenazas de estado-nación chinos e iraníes como Dalbit y Chafer (también conocido como Remix Kitten) para moverse por los entornos de las víctimas.


Redmond dijo que comenzó a observar la nueva variante en ataques realizados por un afiliado de BlackCat en julio de 2023.


Esta novedad se produce más de dos meses después de que IBM Security X-Force revelara detalles de la versión actualizada de BlackCat, llamada Sphynx, que apareció por primera vez en febrero de 2023 con una velocidad de cifrado y un sigilo mejorados, lo que apunta a los continuos esfuerzos realizados por los actores de amenazas para refinar y retocar el ransomware.


A finales de mayo de 2023, IBM Security X-Force señaló que "la muestra de ransomware BlackCat contiene algo más que funciones de ransomware, ya que puede funcionar como un 'kit de herramientas'". "Una cadena adicional sugiere que las herramientas se basan en herramientas de Impacket".


El grupo de hackers, que inició sus operaciones en noviembre de 2021, está marcado por una evolución constante, habiendo lanzado más recientemente una API de fuga de datos para impulsar la visibilidad de sus ataques. Según el informe Mid-Year Threat Review for 2023 de Rapid7, a BlackCat se le atribuyen 212 de un total de 1.500 ataques de ransomware.


No se trata sólo de BlackCat, ya que el grupo de amenazas de ransomware Cuba (también conocido como COLDRAW) también ha sido observado utilizando un amplio conjunto de herramientas de ataque que incluyen BUGHATCH, un descargador personalizado; BURNTCIGAR, un asesino antimalware; Wedgecut, una utilidad de enumeración de hosts; Metasploit; y marcos Cobalt Strike.


BURNTCIGAR, en particular, presenta modificaciones bajo el capó para incorporar una lista codificada con hash de procesos objetivo que deben finalizar, probablemente en un intento de impedir el análisis.


Se dice que uno de los ataques organizados por el grupo a principios de junio de 2023 utilizó como armas CVE-2020-1472 (Zerologon) y CVE-2023-27532, un fallo de alta gravedad en el software Veeam Backup & Replication que ya había sido explotado anteriormente por la banda FIN7, para el acceso inicial.


La compañía canadiense de ciberseguridad BlackBerry dijo que marca el "primer uso observado del grupo de un exploit para la vulnerabilidad de Veeam CVE-2023-27532."


"Los operadores de ransomware de Cuba continúan reciclando la infraestructura de red y utilizan un conjunto básico de TTP que han ido modificando sutilmente de campaña en campaña, a menudo adoptando componentes fácilmente disponibles para actualizar su conjunto de herramientas cuando surge la oportunidad", añadió.


El ransomware sigue siendo una importante fuente de ingresos para los actores de amenazas con motivaciones financieras, y su sofisticación y cantidad aumentaron en el primer semestre de 2023 más que en todo 2022, a pesar de la intensificación de los esfuerzos de las fuerzas de seguridad para acabar con él.


Algunos grupos también han empezado a pasar del cifrado a la mera exfiltración y el rescate o, alternativamente, a recurrir a la triple extorsión, en la que los ataques van más allá del cifrado y el robo de datos para chantajear a los empleados o clientes de la víctima y llevar a cabo ataques DDoS para ejercer más presión.


Otra táctica notable es la de atacar a los proveedores de servicios gestionados (MSP) como puntos de entrada para violar las redes corporativas descendentes, como demuestra una campaña de ransomware de Play dirigida a los sectores financiero, de software, legal y de transporte y logística, así como a entidades estatales, locales, tribales y territoriales (SLTT) de Estados Unidos, Australia, Reino Unido e Italia.


Según Adlumin, los ataques aprovechan "el software de monitorización y gestión remotas (RMM) utilizado por los proveedores de servicios para obtener acceso directo al entorno de un cliente, eludiendo la mayoría de sus defensas", lo que permite a los autores de las amenazas acceder a las redes de forma privilegiada y sin restricciones.


El abuso repetido del software RMM legítimo por parte de los actores de amenazas ha llevado al gobierno de EE.UU. a publicar un Plan de Ciberdefensa para mitigar las amenazas al ecosistema RMM.


"A través del software RMM, los ciberdelincuentes pueden introducirse en los servidores de los proveedores de servicios gestionados (MSP) o de los proveedores de servicios de seguridad gestionada (MSSP) y, por extensión, causar impactos en cascada en las pequeñas y medianas empresas clientes de MSP/MSSP", advirtió la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos.


Fuente: thehackernews