BlackBerry descubre un agente de acceso inicial vinculado a 3 grupos de piratas

Se ha descubierto que un agente de acceso inicial previamente indocumentado proporciona puntos de entrada a tres actores de amenazas diferentes para generar intrusiones que van desde ataques de ransomware motivados financieramente hasta campañas de phishing.

El equipo de investigación e inteligencia de BlackBerry apodó a la entidad " Zebra2104 " , y el grupo es responsable de ofrecer un medio de enfoque digital para los sindicatos de ransomware como MountLocker y Phobos, así como la amenaza persistente avanzada (APT) rastreada bajo el nombre de StrongPity (también conocido como Prometeo).

El panorama de amenazas tal como lo conocemos ha estado cada vez más dominado por una categoría de jugadores conocidos como los agentes de acceso inicial ( IAB ), que son conocidos por proporcionar a otros grupos ciberdelincuentes, incluidos los afiliados de ransomware, un punto de apoyo en un grupo infinito de potencial. organizaciones que pertenecen a diversas geografías y sectores a través de puertas traseras persistentes en las redes de víctimas, construyendo efectivamente un modelo de precios para el acceso remoto.

"Normalmente, los IAB primero obtienen acceso a la red de la víctima y luego venden ese acceso al mejor postor en foros clandestinos ubicados en la web oscura", señalaron los investigadores de BlackBerry en un informe técnico publicado la semana pasada. "Más adelante, el postor ganador a menudo desplegará ransomware y / u otro malware motivado financieramente dentro de la organización de la víctima, según los objetivos de su campaña".

Un análisis de agosto de 2021 de más de 1,000 listados de acceso anunciados para la venta por IAB en foros clandestinos en la web oscura encontró que el costo promedio de acceso a la red fue de $ 5,400 para el período de julio de 2020 a junio de 2021, con las ofertas más valiosas que incluyen privilegios de administrador de dominio. a los sistemas empresariales.


La investigación de la empresa canadiense de ciberseguridad comenzó con un dominio llamado "trashborting [.] Com" que se encontró entregando Cobalt Strike Beacons, usándolo para vincular la infraestructura más amplia a una serie de campañas de malspam que dieron como resultado la entrega de cargas útiles de ransomware , algunas de las cuales se centró en las empresas inmobiliarias australianas y los departamentos gubernamentales estatales en septiembre de 2020.

Además de eso, se descubrió que "supercombinating [.] Com", otro dominio hermano registrado junto con trashborting [.] Com, estaba conectado a una actividad maliciosa de MountLocker y Phobos , incluso cuando el dominio se resolvió en una dirección IP "91.92.109 [.] 174, "que, a su vez, también se usó para alojar un tercer dominio" menciononecommon [.] Com "entre abril y noviembre de 2020 y se utilizó como servidor de comando y control en una campaña de junio de 2020 asociada con StrongPity.


Las superposiciones y la amplia orientación de la IAB también han llevado a los investigadores a creer que el operador "o tiene mucha mano de obra o ha instalado trampas grandes 'ocultas a simple vista' en Internet", lo que permite a MountLocker, Phobos y StrongPity obtener su acceso a las redes específicas.

"La red interconectada de infraestructura maliciosa vista a lo largo de esta investigación ha demostrado que, de una manera que refleja el mundo empresarial legítimo, los grupos de ciberdelincuencia se administran en algunos casos de manera similar a las organizaciones multinacionales", dijeron los investigadores. "Crean asociaciones y alianzas para ayudar a avanzar en sus objetivos. En todo caso, es seguro asumir que estas 'asociaciones comerciales' de grupos de amenazas se volverán aún más frecuentes en el futuro".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta