Microsoft reveló el jueves que encontró una nueva versión del ransomware BlackCat (también conocido como ALPHV y Noberus) que incorpora herramientas como Impacket y RemCom para facilitar el movimiento lateral y la ejecución remota de código.
“La herramienta Impacket tiene módulos de volcado de credenciales y ejecución remota de servicios que podrían usarse para un amplio despliegue del ransomware BlackCat en entornos objetivo”, dijo el equipo de inteligencia de amenazas de la compañía en una serie de publicaciones en X (anteriormente Twitter).
“Esta versión de BlackCat también tiene la herramienta de hackeo RemCom incrustada en el ejecutable para la ejecución remota de código. El archivo también contiene credenciales de destino comprometidas codificadas que los actores utilizan para el movimiento lateral y la implementación adicional de ransomware.
RemCom, anunciado como una alternativa de código abierto a PsExec, ha sido utilizado por actores de amenazas de estado-nación chinos e iraníes como Dalbit y Chafer (también conocido como Remix Kitten) para moverse a través de los entornos de víctimas en el pasado.
Redmond dijo que comenzó a observar la nueva variante en los ataques realizados por un afiliado de BlackCat en julio de 2023.
El desarrollo se produce más de dos meses después de que IBM Security X-Force revelara detalles de la versión actualizada de BlackCat, llamada Sphynx, que surgió por primera vez en febrero de 2023 con una velocidad de cifrado y sigilo mejorados, lo que apunta a los continuos esfuerzos realizados por los actores de amenazas para refinar y reorganizar el ransomware.
“La muestra de ransomware BlackCat contiene más que solo funcionalidad de ransomware, sino que puede funcionar como un ‘kit de herramientas'”, señaló IBM Security X-Force a fines de mayo de 2023. “Una cadena adicional sugiere que las herramientas se basan en herramientas de Impacket”.
El grupo de ciberdelincuencia, que lanzó su operación en noviembre de 2021, está marcado por una evolución constante, habiendo lanzado recientemente una API de fuga de datos para aumentar la visibilidad de sus ataques. Según la revisión de amenazas de mitad de año de Rapid7 para 2023, BlackCat se ha atribuido a 212 de un total de 1.500 ataques de ransomware.
No es solo BlackCat, ya que el grupo de amenazas de ransomware Cuba (también conocido como COLDRAW) también se ha observado utilizando un conjunto integral de herramientas de ataque que abarca BUGHATCH, un descargador personalizado; BURNTCIGAR, un asesino antimalware; Wedgecut, una utilidad de enumeración de host; Metasploit; y los marcos de ataque de cobalto.
BURNTCIGAR, en particular, presenta modificaciones bajo el capó para incorporar una lista codificada de procesos específicos para terminar, probablemente en un intento de impedir el análisis.
Se dice que uno de los ataques montados por el grupo a principios de junio de 2023 armó CVE-2020-1472 (Zerologon) y CVE-2023-27532, una falla de alta gravedad en el software Veeam Backup & Replication que ha sido explotada previamente por la pandilla FIN7, para robar credenciales de los archivos de configuración.
La compañía canadiense de ciberseguridad BlackBerry dijo que marca el “primer uso observado del grupo de un exploit para la vulnerabilidad de Veeam CVE-2023-27532”. El acceso inicial se logra mediante credenciales de administrador comprometidas a través de RDP.
“Los operadores de ransomware de Cuba continúan reciclando la infraestructura de red y utilizan un conjunto central de TTP que han estado modificando sutilmente de una campaña a otra, a menudo adoptando componentes fácilmente disponibles para actualizar su conjunto de herramientas cada vez que surge la oportunidad”, agregó.
El ransomware sigue siendo un importante generador de dinero para los actores de amenazas motivados financieramente, creciendo tanto en sofisticación como en cantidad en la primera mitad de 2023 que en todo 2022 a pesar de los esfuerzos intensificados de aplicación de la ley para eliminarlos.
Algunos grupos también han comenzado a alejarse del cifrado a la pura exfiltración y rescate o, alternativamente, recurrir a la triple extorsión, en la que los ataques van más allá del cifrado de datos y el robo para chantajear a los empleados o clientes de una víctima y llevar a cabo ataques DDoS para ejercer más presión.
“La creciente popularidad de los ataques de extorsión sin cifrado, que omiten el proceso de cifrado, emplea la misma táctica de amenazar con filtrar los datos de las víctimas en línea si no pagan”, dijo Zscaler en su Informe de ransomware 2023. “Esta táctica da como resultado ganancias más rápidas y mayores para las bandas de ransomware al eliminar los ciclos de desarrollo de software y el soporte de descifrado”.
“Estos ataques también son más difíciles de detectar y reciben menos atención de las autoridades porque no bloquean los archivos y sistemas clave ni causan el tiempo de inactividad asociado con la recuperación. Por lo tanto, los ataques de extorsión sin cifrado tienden a no interrumpir las operaciones comerciales de sus víctimas, lo que posteriormente resulta en tasas de denuncia más bajas”.
Una segunda tendencia creciente entre los actores de ransomware es la adopción de cifrado intermitente para cifrar solo partes de cada archivo para acelerar el proceso, así como eludir la detección por parte de soluciones de seguridad que “hacen uso de la cantidad de contenido que se escribe en el disco por un proceso en su heurística para identificar ransomware”.
Otra táctica notable es la orientación de los proveedores de servicios gestionados (MSP) como puntos de entrada para vulnerar las redes corporativas descendentes, como se evidencia en una campaña de ransomware Play dirigida a las industrias financiera, de software, legal y de envío y logística, así como a entidades estatales, locales, tribales y territoriales (SLTT) en los Estados Unidos, Australia, Reino Unido e Italia.
Los ataques aprovechan el “software de monitoreo y administración remota (RMM) utilizado por los proveedores de servicios para obtener acceso directo al entorno de un cliente, evitando la mayoría de sus defensas”, dijo Adlumin, otorgando a los actores de amenazas acceso privilegiado y sin restricciones a las redes.
El abuso repetido del software legítimo de RMM por parte de los actores de amenazas ha llevado al gobierno de los Estados Unidos a lanzar un Plan de Defensa Cibernética para mitigar las amenazas al ecosistema de RMM.
“Los actores de amenazas cibernéticas pueden ganar puntos de apoyo a través del software RMM en proveedores de servicios administrados (MSP) o servidores de proveedores de servicios de seguridad (MSSP) y, por extensión, pueden causar impactos en cascada para las organizaciones pequeñas y medianas que son clientes de MSP / MSSP”, advirtió la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA).
