Investigadores vinculan el ransomware Cheerscrypt basado en Linux con piratas informáticos chinos


La cepa de ransomware basada en Linux recientemente descubierta conocida como Cheerscrypt ha sido descubierta como obra de un grupo de ciberespionaje chino conocido por operar esquemas de ransomware de corta duración.

La firma de seguridad cibernética Sygnia atribuyó los ataques a un actor de amenazas que rastrea bajo el nombre de Emperor Dragonfly, que también se conoce como Bronze Starlight (Secureworks) y DEV-0401 (Microsoft).

“Emperor Dragonfly implementó herramientas de código abierto que fueron escritas por desarrolladores chinos para usuarios chinos”, dijo la compañía en un comunicado. reporte compartido con The Hacker News. “Esto refuerza las afirmaciones de que los operadores de ransomware ‘Emperor Dragonfly’ tienen su sede en China”.

La seguridad cibernética

El uso de Cheerscrypt es la última incorporación a una larga lista de familias de ransomware implementadas anteriormente por el grupo en poco más de un año, incluidas LockFile, Atom Silo, Rook, Night Sky, Pandora y LockBit 2.0.

Secureworks, en su perfil del grupo, señalado “Es plausible que Bronze Starlight implemente ransomware como una cortina de humo en lugar de obtener ganancias financieras, con la motivación subyacente de robar propiedad intelectual o realizar espionaje”.

Cheerscrypt fue documentado por primera vez por Trend Micro en mayo de 2022, destacando sus capacidades para apuntar a los servidores VMware ESXi como parte de una táctica probada llamada doble extorsión para obligar a sus víctimas a pagar el rescate o arriesgarse a exponer los datos.

También ha afirmado ser pro-ucraniano, mostrando un “¡Gloria a Ucrania!“mensaje en su sitio de fuga de datos de la web oscura.

Curiosamente, las acciones de ransomware se superponen con la versión de Linux del ransomware Babuk, cuyo código fuente se filtró en septiembre de 2021 y también forma la base de las familias Rook, Night Sky y Pandora de Emperor Dragonfly.

El modus operandi del actor de amenazas se destaca aún más por su manejo de todas las etapas del ciclo de vida del ataque de ransomware, desde el acceso inicial hasta la implementación del ransomware, sin depender de afiliados ni intermediarios de acceso. Microsoft describió a DEV-0401 como un actor de “lobo solitario”.

La seguridad cibernética

Las cadenas de infección observadas hasta la fecha han hecho uso de la vulnerabilidad crítica Log4Shell en la biblioteca Apache Log4j para comprometer los servidores de VMware Horizon y dejar caer una carga útil de PowerShell capaz de entregar una baliza Cobalt Strike cifrada.

Sygnia dijo que también descubrió tres herramientas adicionales basadas en Go implementadas junto con la baliza: una registrador de teclas que exporta las pulsaciones de teclas registradas a Alibaba Cloud, una utilidad de proxy de Internet llamada ioxy un software de tunelización conocido como NSP.

Los vínculos de Cheerscrypt con Emperor Dragonfly se derivan de las similitudes en los vectores de acceso inicial, las técnicas de movimiento lateral y el despliegue de la baliza codificada Cobalt Strike a través de Carga lateral de DLL.

“Emperor Dragonfly es un operador de ransomware con sede en China, lo que lo convierte en una rareza en el panorama de amenazas actual”, dijeron los investigadores, y agregaron que “un solo actor de amenazas realizó toda la operación”.



ttn-es-57