Un actor de amenazas incipiente conocido como Demonios de la cripta se ha relacionado con una serie de ataques cibernéticos dirigidos a empresas y agencias gubernamentales rusas con ransomware con el doble objetivo de interrumpir las operaciones comerciales y las ganancias financieras.
“El grupo analizado tiene un conjunto de herramientas que incluye utilidades como Mimikatz, XenAllPasswordPro, PingCastle, Localtonet, resocks, AnyDesk, PsExec y otras”, Kaspersky dicho. “Como carga útil final, el grupo utilizó los conocidos ransomware LockBit 3.0 y Babuk”.
Las víctimas de los ataques maliciosos abarcan agencias gubernamentales, así como empresas mineras, energéticas, financieras y minoristas ubicadas en Rusia.
El proveedor ruso de ciberseguridad dijo que pudo identificar el vector de intrusión inicial solo en dos casos, en los que los actores de la amenaza aprovecharon las credenciales de inicio de sesión de un contratista para conectarse a los sistemas internos a través de VPN.
Se dice que las conexiones VPN se originaron a partir de direcciones IP asociadas con la red de un proveedor de hosting ruso y la red de un contratista, lo que indica un intento de pasar desapercibido al convertir en armas las relaciones de confianza. Se cree que las redes de los contratistas se violan mediante servicios VPN o fallas de seguridad sin parches.
A la fase de acceso inicial le sucede el uso de las utilidades NSSM y Localtonet para mantener el acceso remoto, con la explotación posterior facilitada por herramientas como las siguientes:
- XenAllPasswordPro para recopilar datos de autenticación
- Puerta trasera CobInt
- Mimikatz para extraer las credenciales de las víctimas
- dumper.ps1 para volcar tickets de Kerberos del caché LSA
- MiniDump para extraer las credenciales de inicio de sesión de la memoria de lsass.exe
- cmd.exe para copiar las credenciales almacenadas en los navegadores Google Chrome y Microsoft Edge
- PingCastle para reconocimiento de redes
- PAExec para ejecutar comandos remotos
- Cualquier escritorio y calcetines Proxy SOCKS5 para acceso remoto
Los ataques terminan con el cifrado de los datos del sistema utilizando versiones disponibles públicamente de LockBit 3.0 para Windows y Babuk para Linux/ESXi, al mismo tiempo que se toman medidas para cifrar los datos presentes en la Papelera de reciclaje para inhibir la recuperación.
“Los atacantes dejan una nota de rescate con un enlace que contiene su identificación en el servicio de mensajería Session para contacto futuro”, dijo Kaspersky. “Se conectarían al servidor ESXi a través de SSH, cargarían Babuk e iniciarían el proceso de cifrado de los archivos dentro de las máquinas virtuales”.
La elección de herramientas e infraestructura de Crypt Ghouls en estos ataques se superpone con campañas similares realizadas por otros grupos dirigidos a Rusia en los últimos meses, incluidos MorLock, BlackJack, Twelve, Shedding Zmiy (también conocido como ExCobalt).
“Los ciberdelincuentes están aprovechando credenciales comprometidas, que a menudo pertenecen a subcontratistas, y herramientas populares de código abierto”, afirmó la empresa. “El conjunto de herramientas compartido utilizado en los ataques a Rusia hace que sea difícil identificar los grupos hacktivistas específicos involucrados”.
“Esto sugiere que los actores actuales no sólo comparten conocimientos sino también sus herramientas. Todo esto sólo hace que sea más difícil identificar actores maliciosos específicos detrás de la ola de ataques dirigidos a organizaciones rusas”.