Microsoft sobre publicidad maliciosa que propaga el ransomware CACTUS

Microsoft ha advertido de una nueva ola de ataques de ransomware CACTUS que aprovechan los señuelos de publicidad maliciosa para desplegar DanaBot como vector de acceso inicial.

Las infecciones de DanaBot condujeron a “la actividad de hands-on-keyboard por parte del operador de ransomware Storm-0216 (Twisted Spider, UNC2198), que culminó con el despliegue del ransomware CACTUS”, dijo el equipo de inteligencia de amenazas de Microsoft en una serie de publicaciones en X (anteriormente Twitter).

DanaBot, rastreado por el gigante tecnológico como Storm-1044, es una herramienta multifuncional en la línea de Emotet, TrickBot, QakBot e IcedID que es capaz de actuar como un ladrón y un punto de entrada para las cargas útiles de la siguiente etapa.

UNC2198, por su parte, se ha observado anteriormente infectando endpoints con IcedID para desplegar familias de ransomware como Maze y Egregor, como detalló Mandiant, propiedad de Google, en febrero de 2021.

Según Microsoft, el actor de amenazas también se ha aprovechado del acceso inicial proporcionado por las infecciones de QakBot. Por lo tanto, es probable que el cambio a DanaBot sea el resultado de una operación coordinada de aplicación de la ley en agosto de 2023 que derribó la infraestructura de QakBot.

“La campaña actual de Danabot, observada por primera vez en noviembre, parece estar utilizando una versión privada del malware que roba información en lugar de la oferta de malware como servicio”, señaló Redmond.

Las credenciales recopiladas por el malware se transmiten a un servidor controlado por un actor, al que sigue un movimiento lateral a través de intentos de inicio de sesión RDP y, en última instancia, la entrega del acceso a Storm-0216.

La revelación se produce días después de que Arctic Wolf revelara otro conjunto de ataques de ransomware CACTUS que están explotando activamente vulnerabilidades críticas en una plataforma de análisis de datos llamada Qlik Sense para obtener acceso a las redes corporativas.

También sigue al descubrimiento de una nueva cepa de ransomware de macOS denominada Turtle que está escrita en el lenguaje de programación Go y está firmada con una firma adhoc, lo que impide que se ejecute en el lanzamiento debido a las protecciones de Gatekeeper.

Related Posts
Clear Filters
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.