NoName Refuerza Su Arsenal con el Malware RansomHub: Una Amenaza Creciente para PYMES

El grupo de ransomware NoName, también conocido como CosmicBeetle, ha dado un paso decisivo en su evolución al adoptar el malware RansomHub. Este movimiento busca fortalecer sus capacidades de ataque contra pequeñas y medianas empresas (PYMES), aprovechando vulnerabilidades críticas y herramientas avanzadas de cifrado como ScRansom.

El Auge de NoName y Su Nueva Alianza con RansomHuB

NoName ha sido un actor persistente en el mundo del ransomware, dirigiéndose principalmente a PYMES con técnicas agresivas. Su más reciente adquisición, el malware RansomHub, marca un giro estratégico en su arsenal de ciberamenazas. Este grupo ha sido conocido por utilizar malware personalizado de la familia Spacecolon, y ahora amplía su capacidad destructiva con la implementación de ScRansom, un cifrador basado en Delphi.

Aunque el cifrador anterior, Scarab, ofrecía una amenaza considerable, ScRansom eleva el riesgo al introducir características como el modo “ERASE”, que vuelve irrecuperables los archivos cifrados. Su capacidad de utilizar múltiples capas de cifrado (AES-CTR-128 y RSA-1024) lo convierte en una amenaza formidable, aunque ciertos errores en el proceso pueden complicar la recuperación incluso con las claves correctas.

Vulnerabilidades Críticas Aprovechadas por NoName

NoName ha demostrado una notable habilidad para explotar vulnerabilidades conocidas. Entre ellas se incluyen CVE-2017-0144 (EternalBlue) y CVE-2020-1472 (ZeroLogon), ambas esenciales para el acceso inicial a las redes objetivo. Estas vulnerabilidades han sido clave en su estrategia de ataque, lo que permite a NoName acceder a redes críticas y desplegar su ransomware con eficacia.

Adicionalmente, NoName ha utilizado CVE-2023-27532 en el componente de respaldo de Veeam y ha explotado vulnerabilidades en FortiOS SSL-VPN (CVE-2022-42475), lo que refuerza su capacidad para penetrar diversas configuraciones de red.

Estrategias de Evasión y Expansión en la Dark Web

NoName ha perfeccionado su enfoque para evitar la detección, desactivando herramientas de seguridad como Windows Defender y soluciones de VMware mediante técnicas automatizadas. Además, en un intento por ganar notoriedad en el competitivo mercado del ransomware, NoName lanzó un sitio de extorsión en la dark web bajo la marca ‘NONAME’, basado en el sitio de filtración de datos de LockBit.

Este nuevo sitio refleja la agresiva estrategia del grupo para escalar su visibilidad y capturar la atención de víctimas potenciales. Investigadores han señalado que NoName ha utilizado muestras del ransomware LockBit, lo que sugiere una alianza o afiliación con RansomHub, consolidando así su posición en el ámbito del cibercrimen.

Cómo Protegerte de NoName y RansomHub

Para mitigar el impacto de este tipo de ransomware, es crucial seguir las mejores prácticas de seguridad:

  1. Aplicar Actualizaciones y Parches: Asegúrate de que todos los sistemas operativos y aplicaciones estén actualizados para prevenir la explotación de vulnerabilidades conocidas.
  2. Copias de Seguridad: Realiza copias de seguridad regulares de los datos importantes y almacénalos fuera de línea para asegurar su recuperación en caso de ataque.
  3. Software de Seguridad: Mantén un software antivirus y antimalware actualizado, configurado para análisis en tiempo real y escaneos periódicos.
  4. Capacitación de Usuarios: Educa a los empleados sobre los riesgos de correos electrónicos de phishing y otros métodos de ingeniería social.
  5. Autenticación Multifactor: Implementa autenticación multifactor en cuentas críticas para reducir el riesgo de accesos no autorizados.
  6. Monitorización de la Red: Configura soluciones de monitorización para detectar actividad inusual y mantén un plan de respuesta a incidentes en caso de ataque.
Conclusión

El creciente poder de NoName, impulsado por su adopción de RansomHub, lo convierte en una amenaza seria para las empresas. Las PYMES, en particular, deben estar alertas ante esta amenaza y tomar medidas preventivas para proteger sus activos digitales. Mantener una defensa cibernética sólida es esencial en un panorama de amenazas que sigue evolucionando rápidamente.

Indicadores de compromiso
Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.