Se ha observado que los actores de amenazas asociados con el ransomware BlackCat emplean trucos de publicidad maliciosa para distribuir instaladores maliciosos de la aplicación de transferencia de archivos WinSCP.
«Actores maliciosos usaron publicidad maliciosa para distribuir malware a través de páginas web clonadas de organizaciones legítimas», investigadores de Trend Micro. dicho en un análisis publicado la semana pasada. «En este caso, la distribución involucró una página web de la conocida aplicación WinSCP, una aplicación de Windows de código abierto para la transferencia de archivos».
Malvertising se refiere al uso de Técnicas de envenenamiento SEO para propagar malware a través de publicidad en línea. Por lo general, implica secuestrar un conjunto elegido de palabras clave para mostrar anuncios falsos en las páginas de resultados de búsqueda de Bing y Google con el objetivo de redirigir a los usuarios desprevenidos a páginas incompletas.
La idea es engañar a los usuarios que buscan aplicaciones como WinSCP para que descarguen malware, en este caso, una puerta trasera que contiene un Baliza de ataque de cobalto que se conecta a un servidor remoto para operaciones de seguimiento, al mismo tiempo que emplea herramientas legítimas como AdFind para facilitar el descubrimiento de la red.
El acceso proporcionado por Cobalt Strike se abusa aún más para descargar una serie de programas para realizar reconocimiento, enumeración (PowerView), movimiento lateral (PsExec), eludir el software antivirus (KillAV BAT) y filtrar datos de clientes (cliente PuTTY Secure Copy). También se observa el uso de la terminador herramienta de evasión de defensa para manipular el software de seguridad por medio de un ataque Bring Your Own Vulnerable Driver (BYOVD).
En la cadena de ataque detallada por la compañía de ciberseguridad, los actores de la amenaza lograron robar privilegios de administrador de alto nivel para realizar actividades posteriores a la explotación e intentaron configurar la persistencia utilizando herramientas de administración y monitoreo remoto como AnyDesk, así como acceder a servidores de respaldo.
«Es muy probable que la empresa se hubiera visto sustancialmente afectada por el ataque si se hubiera buscado una intervención más tarde, especialmente porque los actores de la amenaza ya habían logrado obtener acceso inicial a los privilegios de administrador del dominio y comenzaron a establecer puertas traseras y persistencia», dijo Trend Micro. .
El desarrollo es solo el último ejemplo de actores de amenazas que aprovechan la plataforma Google Ads para servir malware. En noviembre de 2022, Microsoft reveló una campaña de ataque que aprovecha el servicio de publicidad para implementar BATLOADER, que luego se usa para eliminar el ransomware Royal.
También viene como la empresa checa de ciberseguridad Avast liberado un descifrador gratuito para el incipiente ransomware Akira para ayudar a las víctimas a recuperar sus datos sin tener que pagar a los operadores. Akira, que apareció por primera vez en marzo de 2023, desde entonces amplió su huella objetivo para incluir sistemas Linux.
«Akira tiene algunas similitudes con el ransomware Conti v2, lo que puede indicar que los autores del malware al menos se inspiraron en las fuentes filtradas de Conti», dijeron los investigadores de Avast. La compañía no reveló cómo descifró el algoritmo de encriptación del ransomware.
El sindicato Conti/TrickBot, también conocido como Gold Ulrick o ITG23, cerró en mayo de 2022 después de sufrir una serie de eventos disruptivos desencadenados por el inicio de la invasión rusa de Ucrania. Pero el grupo de delitos electrónicos continúa existiendo hasta la fecha, aunque como entidades más pequeñas y utilizando encriptadores e infraestructura compartidos para distribuir su warez.
IBM Security X-Force, en una reciente inmersión profunda, dijo que los encriptadores de la pandilla, que son aplicaciones diseñadas para encriptar y ofuscar el malware para evadir la detección de los escáneres antivirus y dificultar el análisis, también se están utilizando para diseminar nuevas cepas de malware como Aresloader, Canyon , CargoBay, DICELOADER, Lumma C2, Matanbuchus, Minodo (antes Domino), Pikabot, SVCReady, Vidar.
«Anteriormente, los encriptadores se usaban predominantemente con las principales familias de malware asociadas con ITG23 y sus socios cercanos», dijeron los investigadores de seguridad Charlotte Hammond y Ole Villadsen. dicho. «Sin embargo, la fractura de ITG23 y la aparición de nuevas facciones, relaciones y métodos han afectado la forma en que se utilizan los crypters».
A pesar de la naturaleza dinámica del ecosistema del delito cibernético, a medida que los ciberdelincuentes nefastos van y vienen, y algunas operaciones se asocian, cierran o cambian el nombre de sus esquemas motivados financieramente, el ransomware continúa siendo una amenaza constante.
Esto incluye la aparición de un nuevo grupo de ransomware como servicio (RaaS) llamado Rhysida, que se ha centrado principalmente en los sectores de educación, gobierno, fabricación y tecnología en Europa occidental, América del Norte y del Sur y Australia.
«Rhysida es una aplicación de ransomware criptográfico de Windows Portable Executable (PE) de 64 bits compilada con MINGW/GCC», SentinelOne dicho en un informe técnico. «En cada muestra analizada, el nombre del programa de la aplicación se establece en Rhysida-0.1, lo que sugiere que la herramienta se encuentra en las primeras etapas de desarrollo».