Ciberseguridad 360 | Grupo de ransomware Qilin utiliza credenciales VPN y roba datos de Chrome

Los autores del ataque de ransomware Qilin han robado credenciales almacenadas en los navegadores Google Chrome de un peque�o grupo de terminales comprometidos.

El uso de la recolecci�n de credenciales en relaci�n con una infecci�n de ransomware marca un giro inusual, y uno que podr�a tener consecuencias en cascada, dijo la firma de ciberseguridad Sophos en un informe del jueves.

El ataque, detectado en julio de 2024, consisti� en infiltrarse en la red objetivo a trav�s de credenciales comprometidas para un portal VPN que carec�a de autenticaci�n multifactor (MFA), y los actores de la amenaza llevaron a cabo acciones posteriores a la explotaci�n 18 d�as despu�s de que se produjera el acceso inicial.

"Una vez que el atacante lleg� al controlador de dominio en cuesti�n, edit� la pol�tica de dominio predeterminada para introducir un objeto de directiva de grupo (GPO) basado en el inicio de sesi�n que conten�a dos elementos", explicaron los investigadores Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia y Robert Weiland.

El primero de ellos es un script de PowerShell llamado "IPScanner.ps1" que est� dise�ado para recopilar datos de credenciales almacenados en el navegador Chrome. El segundo elemento es un script por lotes ("logon.bat") que contacta con comandos para ejecutar el primer script.

"El atacante dej� este GPO activo en la red durante m�s de tres d�as", a�adieron los investigadores.

"Esto proporcion� una amplia oportunidad para que los usuarios iniciaran sesi�n en sus dispositivos y, sin que ellos lo supieran, activaran el script de recolecci�n de credenciales en sus sistemas. Una vez m�s, como todo esto se hizo utilizando un GPO de inicio de sesi�n, cada usuario experimentar�a este robo de credenciales cada vez que iniciara sesi�n."

A continuaci�n, los atacantes exfiltraron las credenciales robadas y tomaron medidas para borrar las pruebas de la actividad antes de cifrar los archivos y dejar caer la nota de rescate en todos los directorios del sistema.

El robo de las credenciales almacenadas en el navegador Chrome obliga a los usuarios afectados a cambiar sus combinaciones de nombre de usuario y contrase�a en todos los sitios de terceros.

"Como era de esperar, los grupos de ransomware siguen cambiando de t�ctica y ampliando su repertorio de t�cnicas", afirman los investigadores.

"Si ellos, u otros atacantes, han decidido tambi�n minar en busca de credenciales almacenadas en el endpoint - lo que podr�a proporcionar un pie en la puerta de un objetivo posterior, o trozos de informaci�n sobre objetivos de alto valor para ser explotados por otros medios- puede que se haya abierto un nuevo y oscuro cap�tulo en la continua historia de la ciberdelincuencia."

Tendencias en constante evoluci�n del ransomware

La novedad llega cuando se han observado grupos de ransomware como Mad Liberator y Mimic que utilizan solicitudes no solicitadas de AnyDesk para la exfiltraci�n de datos y aprovechan servidores Microsoft SQL expuestos a Internet para el acceso inicial, respectivamente.

Los ataques de Mad Liberator se caracterizan adem�s porque los actores de la amenaza abusan del acceso para transferir y lanzar un binario llamado "Microsoft Windows Update" que muestra una falsa pantalla de bienvenida de Windows Update a la v�ctima para dar la impresi�n de que se est�n instalando actualizaciones de software mientras se saquean los datos.

El abuso de herramientas leg�timas de escritorio remoto, en lugar de malware a medida, ofrece a los atacantes el disfraz perfecto para camuflar sus actividades maliciosas a plena vista, lo que les permite mezclarse con el tr�fico normal de la red y evadir la detecci�n.

El ransomware sigue siendo una empresa rentable para los ciberdelincuentes a pesar de una serie de acciones policiales, y se prev� que 2024 sea el a�o de mayor recaudaci�n hasta la fecha. Este a�o tambi�n se ha producido el mayor pago por ransomware jam�s registrado, de aproximadamente 75 millones de d�lares, al grupo de ransomware Dark Angels.

"La mediana del pago de rescate a las cepas de ransomware m�s graves se ha disparado de poco menos de 200.000 d�lares a principios de 2023 a 1,5 millones de d�lares a mediados de junio de 2024, lo que sugiere que estas cepas est�n dando prioridad a las grandes empresas y proveedores de infraestructura cr�tica que pueden ser m�s propensos a pagar rescates altos debido a sus bolsillos profundos y su importancia sist�mica", dijo la firma de an�lisis de blockchain Chainalysis.

Se estima que las v�ctimas de ransomware pagaron 459,8 millones de d�lares a los ciberdelincuentes en el primer semestre del a�o, frente a los 449,1 millones de d�lares del mismo periodo del a�o anterior. Sin embargo, los pagos totales por ransomware medidos en cadena han disminuido un 27,29 % interanual, lo que indica un descenso en las tasas de pago.

Es m�s, los grupos de amenazas de habla rusa representaron al menos el 69% de todos los ingresos en criptomoneda relacionados con el ransomware a lo largo del a�o anterior, superando los 500 millones de d�lares.

Seg�n los datos compartidos por NCC Group, el n�mero de ataques de ransomware observados en julio de 2024 aument� mes a mes de 331 a 395, pero por debajo de los 502 registrados el a�o pasado. Las familias de ransomware m�s activas fueron RansomHub, LockBit y Akira. Los sectores m�s atacados son el industrial, el de consumo c�clico y el de hosteler�a y ocio.

Las organizaciones industriales son un objetivo lucrativo para los grupos de ransomware debido a la naturaleza de misi�n cr�tica de sus operaciones y al alto impacto de las interrupciones, lo que aumenta la probabilidad de que las v�ctimas puedan pagar la cantidad de rescate exigida por los atacantes.

"Los delincuentes se centran en los lugares donde pueden causar m�s dolor e interrupciones, por lo que el p�blico exigir� resoluciones r�pidas y, esperan, el pago de rescates para restablecer los servicios m�s r�pidamente", dijo Chester Wisniewski, director global de tecnolog�a de campo de Sophos.

"Esto convierte a los servicios p�blicos en objetivos principales de los ataques de ransomware. Debido a las funciones esenciales que proporcionan, la sociedad moderna exige que se recuperen r�pidamente y con una interrupci�n m�nima."

Los ataques de ransomware dirigidos al sector casi se han duplicado en el segundo trimestre de 2024 en comparaci�n con el primero, pasando de 169 a 312 incidentes, seg�n Dragos. La mayor�a de los ataques afectaron a Norteam�rica (187), seguida de Europa (82), Asia (29) y Sudam�rica (6).

"Los creadores de ransomware est�n programando estrat�gicamente sus ataques para que coincidan con los periodos de vacaciones en algunas regiones, con el fin de maximizar la interrupci�n y presionar a las organizaciones para que paguen", afirma NCC Group.

Malwarebytes, en su propio informe 2024 State of Ransomware, destac� tres tendencias en las t�cticas del ransomware durante el a�o pasado, incluido un aumento de los ataques durante los fines de semana y las primeras horas de la ma�ana, entre la 1:00 y las 5:00, y una reducci�n del tiempo desde el acceso inicial hasta el cifrado.

El desmantelamiento de LockBit y ALPHV (tambi�n conocido como BlackCat) ha llevado a una erosi�n de la confianza dentro de la comunidad cibercriminal, provocando que los afiliados se alejen de las grandes marcas.

De hecho, Coveware dijo que m�s del 10% de los incidentes manejados por la compa��a en el segundo trimestre de 2024 no estaban afiliados, lo que significa que fueron "atribuidos a atacantes que deliberadamente operaban independientemente de una marca espec�fica y lo que t�picamente llamamos lobos solitarios."

"Los continuos desmantelamientos de foros y mercados de ciberdelincuentes acortaron el ciclo de vida de los sitios delictivos, ya que los administradores de los sitios intentan evitar llamar la atenci�n de las fuerzas de seguridad", afirm� Europol en una evaluaci�n publicada el mes pasado.

"Esta incertidumbre, combinada con un aumento de las estafas de salida, han contribuido a la continua fragmentaci�n de los mercados delictivos. Las recientes operaciones LE y la filtraci�n de c�digos fuente de ransomware (por ejemplo, Conti, LockBit y HelloKitty) han provocado una fragmentaci�n de los grupos activos de ransomware y de las variantes disponibles."

Fuente: thehackernews