Ciberseguridad 360 | Microsoft alerta sobre ransomware CACTUS y malvertising

Microsoft ha advertido de una nueva oleada de ataques de ransomware CACTUS que aprovechan se�uelos de publicidad maliciosa para desplegar DanaBot como vector de acceso inicial.

Las infecciones de DanaBot condujeron a "la actividad pr�ctica en el teclado por parte del operador de ransomware Storm-0216 (Twisted Spider, UNC2198), que culmin� con el despliegue del ransomware CACTUS", dijo el equipo de Inteligencia de Amenazas de Microsoft en una serie de mensajes en X (antes Twitter).

DanaBot, rastreado por el gigante de la tecnolog�a como Storm-1044, es una herramienta multifuncional en la l�nea de Emotet, TrickBot, QakBot, y IcedID que es capaz de actuar como un ladr�n y un punto de entrada para las cargas �tiles de la siguiente etapa.

UNC2198, por su parte, ya hab�a infectado puntos finales con IcedID para desplegar familias de ransomware como Maze y Egregor, seg�n detall� Mandiant, propiedad de Google, en febrero de 2021.

Seg�n Microsoft, la amenaza tambi�n ha aprovechado el acceso inicial proporcionado por las infecciones de QakBot. El cambio a DanaBot, por lo tanto, es probablemente el resultado de una operaci�n policial coordinada en agosto de 2023 que acab� con la infraestructura de QakBot.

"La campa�a actual de Danabot, observada por primera vez en noviembre, parece estar utilizando una versi�n privada del malware de robo de informaci�n en lugar de la oferta de malware como servicio", se�ala Redmond.

Las credenciales recogidas por el malware se transmiten a un servidor controlado por el actor, que es seguido por el movimiento lateral a trav�s de intentos de inicio de sesi�n RDP y, finalmente, la entrega de acceso a Storm-0216.

La revelaci�n se produce d�as despu�s de que Arctic Wolf revelara otro conjunto de ataques de ransomware CACTUS que est�n explotando activamente vulnerabilidades cr�ticas en una plataforma de an�lisis de datos llamada Qlik Sense para obtener acceso a redes corporativas.

Tambi�n sigue al descubrimiento de una nueva cepa de ransomware para macOS apodada Turtle que est� escrita en el lenguaje de programaci�n Go y est� firmada con una firma adhoc, lo que impide que se ejecute al iniciarse debido a las protecciones Gatekeeper.

Fuente: thehackernews.com