Operadores de BlackCat que distribuyen ransomware disfrazados de WinSCP

Se ha observado que los actores de amenazas asociados con el ransomware BlackCat emplean trucos de publicidad maliciosa para distribuir instaladores deshonestos de la aplicación de transferencia de archivos WinSCP.

"Los actores maliciosos utilizaron la publicidad maliciosa para distribuir una pieza de malware a través de páginas web clonadas de organizaciones legítimas", dijeron los investigadores de Trend Micro en un análisis publicado la semana pasada. "En este caso, la distribución involucró una página web de la conocida aplicación WinSCP, una aplicación de Windows de código abierto para la transferencia de archivos".

La publicidad maliciosa se refiere al uso de técnicas de envenenamiento SEO para propagar malware a través de la publicidad en línea. Por lo general, implica secuestrar un conjunto elegido de palabras clave para mostrar anuncios falsos en las páginas de resultados de búsqueda de Bing y Google con el objetivo de redirigir a los usuarios desprevenidos a páginas incompletas.

La idea es engañar a los usuarios que buscan aplicaciones como WinSCP para que descarguen malware, en este caso, una puerta trasera que contiene una baliza Cobalt Strike que se conecta a un servidor remoto para operaciones de seguimiento, al tiempo que emplea herramientas legítimas como AdFind para facilitar el descubrimiento de redes.

El acceso proporcionado por Cobalt Strike se abusa aún más para descargar una serie de programas para realizar reconocimiento, enumeración (PowerView), movimiento lateral (PsExec), omitir el software antivirus (KillAV BAT) y filtrar datos de clientes (cliente PuTTY Secure Copy). También se observa el uso de la herramienta de evasión de defensa Terminator para manipular el software de seguridad mediante un ataque Bring Your Own Vulnerable Driver (BYOVD).

En la cadena de ataque detallada por la compañía de ciberseguridad, los actores de amenazas lograron robar privilegios de administrador de alto nivel para realizar actividades posteriores a la explotación e intentaron configurar la persistencia utilizando herramientas de monitoreo y administración remotas como AnyDesk, así como servidores de respaldo de acceso.

"Es muy probable que la empresa se hubiera visto sustancialmente afectada por el ataque si se hubiera buscado la intervención más tarde, especialmente porque los actores de la amenaza ya habían logrado obtener acceso inicial a los privilegios de administrador de dominio y comenzaron a establecer puertas traseras y persistencia", dijo Trend Micro.


El desarrollo es solo el último ejemplo de actores de amenazas que aprovechan la plataforma Google Ads para servir malware. En noviembre de 2022, Microsoft reveló una campaña de ataque que aprovecha el servicio de publicidad para implementar BATLOADER, que luego se utiliza para eliminar el ransomware Royal.

También se produce cuando la compañía checa de ciberseguridad Avast lanzó un descifrador gratuito para el incipiente ransomware Akira para ayudar a las víctimas a recuperar sus datos sin tener que pagar a los operadores. Akira, que apareció por primera vez en marzo de 2023, ha ampliado su huella objetivo para incluir sistemas Linux.

"Akira tiene algunas similitudes con el ransomware Conti v2, lo que puede indicar que los autores del malware se inspiraron al menos en las fuentes filtradas de Conti", dijeron los investigadores de Avast. La compañía no reveló cómo descifró el algoritmo de cifrado del ransomware.

El sindicato Conti / TrickBot, también conocido como Gold Ulrick o ITG23, cerró en mayo de 2022 después de sufrir una serie de eventos perturbadores desencadenados por el inicio de la invasión rusa de Ucrania. Pero el grupo de delitos electrónicos continúa existiendo hasta la fecha, aunque como entidades más pequeñas y utilizando criptadores e infraestructura compartidos para distribuir.

IBM Security X-Force, en una reciente inmersión profunda, dijo que los cifrados de la pandilla, que son aplicaciones diseñadas para cifrar y ofuscar malware para evadir la detección de escáneres antivirus y dificultar el análisis, también se están utilizando para diseminar nuevas cepas de malware como Aresloader, Canyon, CargoBay, DICELOADER, Lumma C2, Matanbuchus, Minodo (anteriormente Domino), Pikabot, SVCReady y Vidar.

"Anteriormente, los cifrados se usaban predominantemente con las familias centrales de malware asociadas con ITG23 y sus socios cercanos", dijeron los investigadores de seguridad Charlotte Hammond y Ole Villadsen. "Sin embargo, la fractura de ITG23 y la aparición de nuevas facciones, relaciones y métodos, han afectado la forma en que se usan los criptadores".

A pesar de la naturaleza dinámica del ecosistema del cibercrimen, a medida que los actores cibernéticos nefastos van y vienen, y algunas operaciones se asocian, cierran o cambian el nombre de sus esquemas motivados financieramente, el ransomware ha permanecido como una amenaza constante.

Esto incluye la aparición de un nuevo grupo de ransomware como servicio (RaaS) llamado Rhysida, que ha destacado principalmente los sectores de educación, gobierno, fabricación y tecnología en Europa occidental, América del Norte y del Sur, y Australia.

"Rhysida es una aplicación de ransomware criptográfica de Windows ejecutable portátil (PE) de 64 bits compilada utilizando MINGW / GCC", dijo SentinelOne en un artículo técnico. "En cada muestra analizada, el nombre del programa de la aplicación se establece en Rhysida-0.1, lo que sugiere que la herramienta se encuentra en las primeras etapas de desarrollo".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta