 |
Los atacantes asociados al ransomware de Cuba han sido vinculados a tácticas, técnicas y procedimientos (TTPs) previamente no documentados, incluyendo un nuevo troyano de acceso remoto llamado ROMCOM RAT en los sistemas comprometidos. Los nuevos hallazgos provienen del equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks, que está siguiendo al grupo de ransomware de doble extorsión bajo el apodo de constelación Tropical Scorpius. |
El ransomware Cuba (también conocido como COLDDRAW), que se detectó por primera vez en diciembre de 2019, reapareció en el panorama de las amenazas en noviembre de 2021 y se le atribuyen ataques contra 60 entidades de cinco sectores de infraestructuras críticas, acumulando al menos 43,9 millones de dólares en pagos de rescates.
De las 60 víctimas enumeradas en su sitio de filtración de datos, 40 se encuentran en los Estados Unidos, lo que indica una distribución no tan global de las organizaciones objetivo como otras bandas de ransomware.
"El ransomware Cuba se distribuye a través del malware Hancitor, un loader conocido por lanzar o ejecutar robos, como troyanos de acceso remoto (RAT) y otros tipos de ransomware, en las redes de las víctimas", según una alerta de diciembre de 2021 de la Oficina Federal de Investigación de Estados Unidos (FBI).
"Los autores del malware Hancitor utilizan correos electrónicos de phishing, vulnerabilidades de Microsoft Exchange, credenciales comprometidas o herramientas legítimas del Protocolo de Escritorio Remoto (RDP) para obtener el acceso inicial a la red de la víctima."
En los meses transcurridos, la operación del ransomware ha recibido una actualización con el objetivo de "optimizar su ejecución, minimizar el comportamiento involuntario del sistema y proporcionar soporte técnico a las víctimas del ransomware si deciden negociar", según Trend Micro.
Los principales cambios incluyen la terminación de más procesos antes del cifrado (por ejemplo, Microsoft Outlook, Exchange y MySQL), la ampliación de los tipos de archivos que se excluyen y la revisión de su nota de rescate para ofrecer apoyo a las víctimas a través de quTox.
También se cree que Tropical Scorpius comparte conexiones con un mercado de extorsión de datos llamado Industrial Spy, como informó Bleeping Computer en mayo de 2022, con los datos exfiltrados tras un ataque de ransomware a Cuba publicados para su venta en el portal ilícito en lugar de su propio sitio de fuga de datos.
Las últimas actualizaciones observadas por Unit 42 en mayo de 2022 tienen que ver con las tácticas de evasión de la defensa empleadas antes del despliegue del ransomware para volar bajo el radar y moverse lateralmente por el entorno informático comprometido.
"Tropical Scorpius aprovechó un dropper que escribe un controlador del kernel en el sistema de archivos llamado ApcHelper.sys", señaló la compañía. "Esto apunta y termina los productos de seguridad. El dropper no estaba firmado, sin embargo, el driver del kernel estaba firmado usando el certificado encontrado en la filtración de LAPSUS$ NVIDIA".
La principal tarea del controlador del kernel es terminar los procesos asociados a los productos de seguridad para evitar su detección. También se incorpora a la cadena de ataque una herramienta de escalada de privilegios local descargada desde un servidor remoto para obtener permisos de SISTEMA.
Esto, a su vez, se consigue activando un exploit para CVE-2022-24521 (puntuación CVSS: 7,8), un fallo en el sistema de archivos de registro común de Windows (CLFS) que fue parcheado por Microsoft como un fallo de día cero en abril de 2022.
El paso de la escalada de privilegios va seguido de la realización de actividades de reconocimiento del sistema y de movimiento lateral a través de herramientas como ADFind y Net Scan, al tiempo que se utiliza una utilidad ZeroLogon que explota CVE-2020-1472 para obtener derechos de administrador de dominio.
Además, la intrusión allana el camino para el despliegue de una nueva puerta trasera llamada ROMCOM RAT, que está equipada para iniciar un shell inverso, eliminar archivos arbitrarios, cargar datos a un servidor remoto y recoger una lista de procesos en ejecución.
Se dice que el troyano de acceso remoto, según Unit 42, está en desarrollo activo, ya que la empresa de ciberseguridad descubrió una segunda muestra subida a la base de datos VirusTotal el 20 de junio de 2022.
La variante mejorada viene con soporte para un conjunto ampliado de 22 comandos, contando con la capacidad de descargar cargas útiles a medida para capturar pantallas, así como extraer una lista de todas las aplicaciones instaladas para enviarlas al servidor remoto.
"Tropical Scorpius sigue siendo una amenaza activa", dijeron los investigadores. "La actividad del grupo deja claro que un enfoque de comercio que utiliza un híbrido de herramientas más matizadas que se centran en los elementos internos de Windows de bajo nivel para la evasión de la defensa y la escalada de privilegios locales puede ser muy eficaz durante una intrusión".
Los hallazgos se producen en un momento en que grupos de ransomware emergentes como Stormous, Vice Society, Luna, SolidBit y BlueSky siguen proliferando y evolucionando en el ecosistema de la ciberdelincuencia, al tiempo que utilizan técnicas de cifrado y mecanismos de distribución avanzados.
SolidBit destaca por dirigirse a usuarios de populares videojuegos y plataformas de redes sociales haciéndose pasar por diferentes aplicaciones como una herramienta de comprobación de cuentas de League of Legends y herramientas como Social Hacker e Instagram Follower Bot, lo que permite a los delincuentes lanzar una amplia red de víctimas potenciales.
"El ransomware SolidBit se compila utilizando .NET y es en realidad una variante del ransomware Yashma, también conocido como Chaos", señaló Trend Micro en un escrito la semana pasada.
"Es posible que los actores del ransomware de SolidBit estén trabajando actualmente con el desarrollador original del ransomware Yashma y probablemente hayan modificado algunas características del constructor de Chaos, para luego renombrarlo como SolidBit".
BlueSky, por su parte, es conocido por utilizar el multithreading para cifrar los archivos en el host para un cifrado más rápido, por no hablar de la adopción de técnicas anti-análisis para ofuscar su apariencia.
La carga útil del ransomware, que comienza con la ejecución de un script PowerShell recuperado de un servidor controlado por el atacante, también se disfraza como una aplicación legítima de Windows ("javaw.exe").
"Los autores de ransomware están adoptando modernas técnicas avanzadas, como la codificación y el cifrado de muestras maliciosas, o el uso de la entrega y carga de ransomware en varias etapas, para evadir las defensas de seguridad", señaló la Unidad 42.
"El ransomware BlueSky es capaz de cifrar archivos en los hosts de las víctimas a gran velocidad con un cálculo multihilo. Además, el ransomware adopta técnicas de ofuscación, como el hashing de la API, para ralentizar el proceso de ingeniería inversa para el analista."
Fuente: https://thehackernews.com/2022/08/hackers-behind-cuba-ransomware-attacks.html