Microsoft ha advertido sobre una nueva ola de ataques de ransomware CACTUS que aprovechan señuelos de publicidad maliciosa para implementar DanaBot como vector de acceso inicial.
Las infecciones de DanaBot llevaron a «una actividad práctica en el teclado por parte del operador de ransomware Storm-0216 (Twisted Spider, UNC2198), que culminó con la implementación del ransomware CACTUS», dijo el equipo de Microsoft Threat Intelligence. dicho en una serie de publicaciones en X (anteriormente Twitter).
DanaBot, rastreado por el gigante tecnológico como Storm-1044, es una herramienta multifuncional similar a Emotet, TrickBot, QakBot e IcedID que es capaz de actuar como un ladrón y un punto de entrada para cargas útiles de la siguiente etapa.
Por su parte, se ha observado anteriormente que UNC2198 infecta terminales con IcedID para implementar familias de ransomware como Maze y Egregor, así como detallado por Mandiant, propiedad de Google, en febrero de 2021.
Según Microsoft, el actor de amenazas también aprovechó el acceso inicial proporcionado por las infecciones QakBot. El cambio a DanaBot probablemente sea el resultado de una operación policial coordinada en agosto de 2023 que derribó la infraestructura de QakBot.
«La actual campaña de Danabot, observada por primera vez en noviembre, parece estar utilizando una versión privada del malware de robo de información en lugar de la oferta de malware como servicio», señaló además Redmond.
Las credenciales recopiladas por el malware se transmiten a un servidor controlado por el actor, al que sigue un movimiento lateral mediante intentos de inicio de sesión RDP y, en última instancia, se concede el acceso a Storm-0216.
La divulgación se produce días después de que Arctic Wolf revelara otro conjunto de ataques de ransomware CACTUS que explotan activamente vulnerabilidades críticas en una plataforma de análisis de datos llamada Qlik Sense para obtener acceso a redes corporativas.
También sigue al descubrimiento de una nueva cepa de ransomware macOS denominada Tortuga que está escrito en el lenguaje de programación Go y está firmado con una firma ad hoc, lo que evita que se ejecute en el momento del lanzamiento debido a las protecciones de Gatekeeper.