Se ha observado que un grupo hacktivista conocido como Twelve utiliza un arsenal de herramientas disponibles públicamente para llevar a cabo ataques cibernéticos destructivos contra objetivos rusos.
“En lugar de exigir un rescate para descifrar los datos, Twelve prefiere cifrar los datos de las víctimas y luego destruir su infraestructura con un limpiador para evitar su recuperación”, afirma Kaspersky. dicho en un análisis del viernes.
“Este enfoque es indicativo de un deseo de causar el máximo daño a las organizaciones objetivo sin obtener un beneficio financiero directo”.
El grupo de piratas informáticos, que se cree se formó en abril de 2023 tras el inicio de la guerra entre Rusia y Ucrania, tiene antecedentes de montar ciberataques que tienen como objetivo paralizar las redes de las víctimas e interrumpir las operaciones comerciales.
También se ha observado que realiza operaciones de piratería y filtración que extraen información confidencial, que luego se comparte en su canal de Telegram.
Kaspersky dijo que Twelve comparte superposiciones tácticas y de infraestructura con un grupo de ransomware llamado ESTRELLA OSCURA (también conocido como COMET o Shadow), lo que aumenta la posibilidad de que los dos conjuntos de intrusiones estén relacionados entre sí o sean parte del mismo grupo de actividad.
“Al mismo tiempo, mientras que las acciones de Twelve son claramente de naturaleza hacktivista, DARKSTAR se ciñe al clásico patrón de doble extorsión”, afirmó el proveedor ruso de ciberseguridad. “Esta variación de objetivos dentro del sindicato subraya la complejidad y diversidad de las ciberamenazas modernas”.
Las cadenas de ataque comienzan con la obtención de acceso inicial mediante el uso indebido de cuentas locales o de dominio válidas, tras lo cual se utiliza el Protocolo de escritorio remoto (RDP) para facilitar el movimiento lateral. Algunos de estos ataques también se llevan a cabo a través de los contratistas de la víctima.
“Para ello, obtuvieron acceso a la infraestructura del contratista y luego utilizaron su certificado para conectarse a la VPN de su cliente”, señaló Kaspersky. “Una vez obtenido el acceso, el adversario puede conectarse a los sistemas del cliente a través del Protocolo de escritorio remoto (RDP) y luego penetrar en la infraestructura del cliente”.
Entre las herramientas utilizadas por Twelve se destacan Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner y PsExec para el robo de credenciales, el descubrimiento, el mapeo de redes y la escalada de privilegios. Las conexiones RDP maliciosas al sistema se canalizan a través de ngrok.
También se han implementado shells web PHP con capacidades para ejecutar comandos arbitrarios, mover archivos o enviar correos electrónicos. programascomo el Shell web de WSOestán fácilmente disponibles en GitHub.
En un incidente investigado por Kaspersky, se dice que los actores de la amenaza explotaron vulnerabilidades de seguridad conocidas (por ejemplo, CVE-2021-21972 y CVE-2021-22005) en VMware vCenter para entregar una Concha web que luego se utilizó para colocar una puerta trasera llamada FaceFish.
“Para hacerse un hueco en la infraestructura del dominio, el adversario utilizó PowerShell para añadir usuarios y grupos del dominio y modificar las listas de control de acceso (ACL) de los objetos de Active Directory”, afirmó. “Para evitar ser detectados, los atacantes disfrazaron su malware y sus tareas bajo los nombres de productos o servicios existentes”.
Algunos de los nombres utilizados incluyen “Actualizar Microsoft”, “Yandex”, “YandexUpdate” e “intel.exe”.
Los ataques también se caracterizan por el uso de un script de PowerShell (“Sophos_kill_local.ps1”) para finalizar procesos relacionados con el software de seguridad de Sophos en el host comprometido.
Las etapas finales implican el uso del Programador de tareas de Windows para ejecutar ransomware y cargas útiles de borrado, pero no antes de recopilar y exfiltrar información confidencial sobre sus víctimas a través de un servicio de intercambio de archivos llamado DropMeFiles en forma de archivos ZIP.
“Los atacantes utilizaron una versión del popular ransomware LockBit 3.0, compilado a partir de un código fuente disponible públicamente, para cifrar los datos”, afirmaron los investigadores de Kaspersky. “Antes de comenzar a trabajar, el ransomware finaliza los procesos que pueden interferir con el cifrado de archivos individuales”.
El limpiador, idéntico al malware Shamoon, reescribe el registro de arranque maestro (MBR) en las unidades conectadas y sobrescribe todo el contenido de los archivos con bytes generados aleatoriamente, lo que impide eficazmente la recuperación del sistema.
“El grupo se limita a utilizar un arsenal de herramientas de malware conocido y de acceso público, lo que sugiere que no fabrica ninguna propia”, señaló Kaspersky. “Esto permite detectar y prevenir los ataques de Twelve a tiempo”.