Los actores de amenazas detrás de un ataque de ransomware Qilin observado recientemente han robado credenciales almacenadas en los navegadores Google Chrome en un pequeño conjunto de puntos finales comprometidos.
El uso de recolección de credenciales en conexión con una infección de ransomware marca un giro inusual y que podría tener consecuencias en cadena, dijo la firma de ciberseguridad Sophos en un informe del jueves.
El ataque, detectado en julio de 2024, implicó la infiltración en la red objetivo a través de credenciales comprometidas para un portal VPN que carecía de autenticación multifactor (MFA), y los actores de la amenaza realizaron acciones posteriores a la explotación 18 días después de que tuvo lugar el acceso inicial.
“Una vez que el atacante llegó al controlador de dominio en cuestión, editó la política de dominio predeterminada para introducir un objeto de política de grupo (GPO) basado en el inicio de sesión que contenía dos elementos”, dijeron los investigadores Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia y Robert Weiland. dicho.
El primero de ellos es un script de PowerShell llamado “IPScanner.ps1” que está diseñado para recopilar datos de credenciales almacenados en el navegador Chrome. El segundo elemento es un script por lotes (“logon.bat”) que se comunica con los comandos para ejecutar el primer script.
“El atacante dejó este GPO activo en la red durante más de tres días”, agregaron los investigadores.
“Esto proporcionó una amplia oportunidad para que los usuarios iniciaran sesión en sus dispositivos y, sin saberlo, activaran el script de recolección de credenciales en sus sistemas. Nuevamente, dado que todo esto se hizo mediante un GPO de inicio de sesión, cada usuario experimentaría esta suplantación de credenciales cada vez que iniciara sesión”.
Luego, los atacantes extrajeron las credenciales robadas y tomaron medidas para borrar la evidencia de la actividad antes de cifrar los archivos y colocar la nota de rescate en cada directorio del sistema.
El robo de credenciales almacenadas en el navegador Chrome significa que los usuarios afectados ahora deben cambiar sus combinaciones de nombre de usuario y contraseña para cada sitio de terceros.
“Como era de esperar, los grupos de ransomware continúan cambiando de táctica y ampliando su repertorio de técnicas”, dijeron los investigadores.
“Si ellos u otros atacantes han decidido también extraer credenciales almacenadas en los puntos finales (que podrían abrir la puerta a un objetivo posterior o grandes cantidades de información sobre objetivos de alto valor que se pueden explotar por otros medios), es posible que se haya abierto un nuevo y oscuro capítulo en la historia actual del cibercrimen”.
Tendencias en constante evolución en el ransomware
El desarrollo se produce en un momento en que grupos de ransomware como El libertador loco y Imitar Se han observado ataques que utilizan solicitudes AnyDesk no solicitadas para la exfiltración de datos y que aprovechan servidores Microsoft SQL expuestos a Internet para el acceso inicial, respectivamente.
Los ataques de Mad Liberator se caracterizan además por el abuso por parte de los actores de amenazas del acceso para transferir y ejecutar un binario llamado “Microsoft Windows Update” que muestra una pantalla de presentación falsa de Windows Update a la víctima para dar la impresión de que se están instalando actualizaciones de software mientras se saquean los datos.
El Abuso de herramientas legítimas de escritorio remotoa diferencia del malware personalizado, ofrece a los atacantes el disfraz perfecto para camuflar sus actividades maliciosas a simple vista, lo que les permite mezclarse con el tráfico normal de la red y evadir la detección.
El ransomware sigue siendo una actividad rentable para los ciberdelincuentes a pesar de una serie de acciones de aplicación de la ley, y se prevé que 2024 sea el año de mayores ingresos hasta la fecha. El año también vio el El pago más grande por ransomware alguna vez registrado en aproximadamente $ 75 millones al grupo de ransomware Dark Angels.
“El pago de rescate medio por las cepas de ransomware más severas se ha disparado desde poco menos de 200.000 dólares a principios de 2023 a 1,5 millones de dólares a mediados de junio de 2024, lo que sugiere que estas cepas están priorizando el ataque a empresas más grandes y proveedores de infraestructura crítica que pueden tener más probabilidades de pagar rescates elevados debido a sus bolsillos profundos y su importancia sistémica”, afirma la firma de análisis blockchain Chainalysis dicho.
Se estima que las víctimas de ransomware pagaron 459,8 millones de dólares a los cibercriminales en el primer semestre del año, frente a los 449,1 millones de dólares del año anterior. Sin embargo, el total de eventos de pago de ransomware medidos en cadena ha disminuido un 27,29 % interanual, lo que indica una caída en las tasas de pago.
Además, los grupos de amenaza de habla rusa contabilizado al menos el 69% de todos los ingresos en criptomonedas vinculados al ransomware durante el año anterior, superando los 500 millones de dólares.
Según los datos compartidos por NCC Group, el número de ataques de ransomware observados en julio de 2024 aumentó mes a mes de 331 a 395, pero por debajo de los 502 registrados el año pasado. Las familias de ransomware más activas fueron RansomHub, LockBit y Akira. Los sectores que fueron atacados con mayor frecuencia incluyen el industrial, el de consumo cíclico y el hotelero y el de entretenimiento.
Las organizaciones industriales son una objetivo lucrativo para grupos de ransomware debido a la naturaleza crítica de sus operaciones y al alto impacto de las interrupciones, lo que aumenta la probabilidad de que las víctimas puedan pagar el monto del rescate exigido por los atacantes.
“Los delincuentes se concentran donde pueden causar más dolor y perturbaciones, por lo que el público exigirá resoluciones rápidas y, esperan, pagos de rescate para restablecer los servicios más rápidamente”. dicho Chester Wisniewski, director global de tecnología de campo en Sophos.
“Esto convierte a las empresas de servicios públicos en objetivos principales de los ataques de ransomware. Debido a las funciones esenciales que brindan, la sociedad moderna exige que se recuperen rápidamente y con una interrupción mínima”.
Los ataques de ransomware dirigidos al sector casi se duplicaron en el segundo trimestre de 2024 en comparación con el primer trimestre, de 169 a 312 incidentes por año. DragosLa mayoría de los ataques se produjeron en América del Norte (187), seguida de Europa (82), Asia (29) y América del Sur (6).
“Los actores de ransomware están programando estratégicamente sus ataques para que coincidan con los períodos pico de vacaciones en algunas regiones para maximizar las interrupciones y presionar a las organizaciones para que paguen”, NCC Group dicho.
Malwarebytes, en su propio informe sobre el estado del ransomware en 2024, Destacado tres tendencias en tácticas de ransomware durante el año pasado, incluido un aumento en los ataques durante los fines de semana y las primeras horas de la mañana entre la 1 a. m. y las 5 a. m., y una reducción en el tiempo desde el acceso inicial hasta el cifrado.
Otro cambio notable es la mayor explotación de los servicios de borde y la focalización en las pequeñas y medianas empresas, WithSecure dichoademás, el desmantelamiento de LockBit y ALPHV (también conocido como BlackCat) ha provocado una erosión de la confianza dentro de la comunidad cibercriminal, lo que ha provocado que los afiliados se alejen de las principales marcas.
De hecho, Coveware dicho Más del 10% de los incidentes manejados por la empresa en el segundo trimestre de 2024 no tenían ninguna afiliación, lo que significa que fueron “atribuidos a atacantes que operaban deliberadamente de forma independiente de una marca específica y lo que normalmente llamamos ‘lobos solitarios'”.
“Los continuos cierres de foros y mercados de cibercriminales acortaron el ciclo de vida de los sitios delictivos, ya que los administradores de los sitios intentan evitar llamar la atención de las fuerzas del orden”, dijo Europol. dicho en una evaluación publicada el mes pasado.
“Esta incertidumbre, combinada con un aumento de las estafas de salida, ha contribuido a la continua fragmentación de los mercados delictivos. Las recientes operaciones de LE y la filtración de códigos fuente de ransomware (por ejemplo, Conti, LockBit y HelloKitty) han provocado una fragmentación de los grupos de ransomware activos y las variantes disponibles”.