Ciberseguridad 360 | Las bandas de ransomware utilizan cada vez más el malware posterior a la explotación Skitnet

Los miembros de bandas de ransomware utilizan cada vez m�s un nuevo malware llamado Skitnet ("Bossnet") para realizar actividades sigilosas posteriores a la explotaci�n en redes violadas.

El malware se ha ofrecido a la venta en foros clandestinos como RAMP desde abril de 2024, pero seg�n los investigadores de Prodaft , comenz� a ganar tracci�n significativa entre las bandas de ransomware desde principios de 2025.

Prodaft le dijo a BleepingComputer que han observado m�ltiples operaciones de ransomware que implementan Skitnet en ataques del mundo real, incluidos BlackBasta en ataques de phishing de Microsoft Teams contra la empresa y Cactus.

Ransomware

Puerta trasera sigilosa y poderosa

La infecci�n de Skitnet comienza con un cargador basado en Rust que se instala y ejecuta en el sistema de destino, que descifra un binario Nim cifrado con ChaCha20 y lo carga en la memoria.

La carga �til Nim establece un shell inverso basado en DNS para la comunicaci�n con el servidor de comando y control (C2), iniciando la sesi�n con consultas DNS aleatorias.

El malware inicia tres subprocesos: uno para enviar solicitudes DNS de latido, uno para monitorear y exfiltrar la salida del shell, y otro para escuchar y descifrar comandos de las respuestas DNS.

La comunicaci�n y los comandos a ejecutar se env�an v�a HTTP o DNS, seg�n los comandos emitidos desde el panel de control Skitnet C2. El panel C2 permite al operador ver la IP, la ubicaci�n y el estado del objetivo, y emitir comandos para su ejecuci�n.

Panel de administraci�n de Skitnet

Los comandos admitidos son:

Inicio : Establece persistencia descargando tres archivos (incluida una DLL maliciosa) y creando un acceso directo a un ejecutable leg�timo de Asus (ISP.exe) en la carpeta de inicio. Esto activa un secuestro de la DLL que ejecuta un script de PowerShell (pas.ps1) para la comunicaci�n continua con el C2.
Pantalla : captura una captura de pantalla del escritorio de la v�ctima usando PowerShell, la carga en Imgur y env�a la URL de la imagen al servidor C2.
Anydesk : descarga e instala silenciosamente AnyDesk, una herramienta de acceso remoto leg�tima, mientras oculta la ventana y el �cono de la bandeja de notificaciones.
Rutserv : descarga e instala silenciosamente RUT-Serv, otra herramienta leg�tima de acceso remoto.
Shell : inicia un bucle de comandos de PowerShell. Env�a un mensaje inicial "Shell iniciado..." y, a continuaci�n, sondea repetidamente (?m) el servidor cada 5 segundos en busca de nuevos comandos que ejecuta mediante Invoke-Expression y env�a los resultados.
Av : Enumera el software antivirus y de seguridad instalado mediante una consulta WMI (SELECT * FROM AntiVirusProduct en el espacio de nombres root\SecurityCenter2). Env�a los resultados al servidor C2.

Adem�s del conjunto de comandos principal, los operadores tambi�n pueden aprovechar una capacidad separada que involucra un cargador .NET, que les permite ejecutar scripts de PowerShell en la memoria, para una personalizaci�n de ataque a�n m�s profunda.

Cargador .NET de Skitnet

Si bien los grupos de ransomware a menudo utilizan herramientas personalizadas dise�adas para operaciones espec�ficas y tienen una detecci�n de AV baja, estas son costosas de desarrollar y requieren desarrolladores capacitados que no siempre est�n disponibles, especialmente en grupos de nivel inferior.

Usar un malware est�ndar como Skitnet es m�s barato, m�s r�pido de implementar y puede dificultar la atribuci�n, ya que muchos actores de amenazas lo utilizan.

En el espacio del ransomware, hay lugar para ambos enfoques, incluso una combinaci�n de ambos, pero las capacidades de Skitnet lo hacen particularmente atractivo para los piratas inform�ticos.

Fuente: Bleepingcomputer.