(https://i.imgur.com/SaD4CRf.png)
Investigadores de ciberseguridad de Cisco Talos han detallado las operaciones de ToyMaker, un corredor de acceso inicial (IAB) que ha sido vinculado a la entrega de accesos a organizaciones para grupos de ransomware de doble extorsión como CACTUS.
ToyMaker ha sido evaluado con un nivel de confianza medio como un actor de amenazas motivado financieramente. Sus actividades incluyen el escaneo de sistemas vulnerables y la implementación de un malware personalizado denominado LAGTOY, también conocido como HOLERUN.
Según los investigadores Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura y Brandon White de Cisco Talos, LAGTOY permite la creación de shells inversos y la ejecución remota de comandos en endpoints comprometidos.
LAGTOY: el malware usado por ToyMaker para comprometer organizacionesLAGTOY fue documentado inicialmente por Mandiant (parte de Google) en marzo de 2023. El malware fue atribuido a un actor de amenazas rastreado como UNC961, también conocido en la industria como Gold Melody o Prophet Spider.
Las investigaciones han revelado que el actor de amenazas explota un extenso arsenal de vulnerabilidades conocidas en aplicaciones expuestas a Internet para obtener acceso inicial. Posteriormente, realiza:
- Reconocimiento interno.
- Recolección de credenciales.
- Despliegue de LAGTOY en un periodo de aproximadamente una semana.
Adicionalmente, ToyMaker establece conexiones SSH hacia servidores remotos para descargar herramientas forenses como Magnet RAM Capture, con el objetivo de obtener volcados de memoria y extraer credenciales de las víctimas.
Una vez desplegado, LAGTOY se comunica con un servidor de comando y control (C2) codificado de forma rígida, desde donde recibe instrucciones para:
- Crear nuevos procesos.
- Ejecutar comandos con privilegios de usuarios específicos.
- Procesar tres comandos distintos con un intervalo de 11000 milisegundos entre ellos.
ToyMaker y su vínculo con el ransomware CACTUSTras una pausa de aproximadamente tres semanas en su actividad, ToyMaker fue nuevamente observado cuando el grupo de ransomware CACTUS utilizó credenciales robadas para penetrar en una empresa víctima. Según Cisco Talos, el acceso proporcionado permitió a CACTUS realizar:
- Actividades de reconocimiento.
- Establecimiento de persistencia en los sistemas.
- Exfiltración de datos y posterior cifrado de los mismos.
Durante este ataque, los actores utilizaron diversas herramientas para garantizar un acceso a largo plazo, como OpenSSH, AnyDesk y eHorus Agent.
Motivaciones financieras detrás de ToyMakerCisco Talos concluye que ToyMaker opera exclusivamente con motivaciones financieras. Basado en el análisis del tiempo de permanencia limitado, la falta de robo de datos previo y la rápida transferencia del acceso a actores secundarios, se descarta que ToyMaker tenga fines de espionaje.
En resumen, ToyMaker actúa como un facilitador de ataques de ransomware, vendiendo o transfiriendo accesos privilegiados a organizaciones de alto valor. Los grupos compradores, como CACTUS, utilizan estos accesos para llevar a cabo campañas de doble extorsión, cifrando datos críticos y exigiendo rescates millonarios.
En conclusión, la aparición de actores como ToyMaker subraya la creciente especialización dentro del ecosistema criminal cibernético. La separación entre quienes obtienen el acceso inicial y quienes ejecutan los ataques finales, como los grupos de ransomware, complica la detección y la respuesta a incidentes.
El monitoreo constante de sistemas expuestos, la aplicación de actualizaciones de seguridad, y una gestión proactiva de credenciales son esenciales para protegerse contra amenazas cada vez más organizadas como las facilitadas por ToyMaker.
Fuente: https://thehackernews.com/