Microsoft reveló el jueves que encontró una nueva versión del Gato negro ransomware (también conocido como ALPHV y Noberus) que incorpora herramientas como Impacket y RemCom para facilitar el movimiento lateral y la ejecución remota de código.
«El herramienta de paquete tiene módulos de descarga de credenciales y ejecución de servicios remotos que podrían usarse para una amplia implementación del ransomware BlackCat en entornos de destino», dijo el equipo de inteligencia de amenazas de la compañía. dicho en una serie de publicaciones en X (anteriormente Twitter).
«Esta versión de BlackCat también tiene la herramienta de hack RemCom incrustado en el ejecutable para la ejecución remota de código. El archivo también contiene credenciales de destino comprometidas codificadas que los actores usan para el movimiento lateral y una mayor implementación de ransomware».
RemCom, anunciado como una alternativa de código abierto a PsExec, ha sido utilizado por actores de amenazas de estados nacionales chinos e iraníes como Dalbit y Escarabajo (también conocido como Remix Kitten) para moverse a través de los entornos de las víctimas en el pasado.
Redmond dijo que comenzó a observar la nueva variante en los ataques realizados por un afiliado de BlackCat en julio de 2023.
El desarrollo llega más de dos meses después de que IBM Security X-Force revelara los detalles de la versión actualizada de BlackCat, llamada Sphynx, que apareció por primera vez en febrero de 2023 con una velocidad de cifrado y sigilo mejorados, lo que apunta a los continuos esfuerzos realizados por los actores de amenazas para refinar y reestructurar el ransomware.
«La muestra de ransomware BlackCat contiene más que una simple funcionalidad de ransomware, pero puede funcionar como un ‘juego de herramientas'», señaló IBM Security X-Force a fines de mayo de 2023. «Una cadena adicional sugiere que las herramientas se basan en herramientas de Impacket».
El grupo de ciberdelincuencia, que lanzó su operación en noviembre de 2021, está marcado por una evolución constante, y recientemente lanzó un API de fuga de datos para aumentar la visibilidad de sus ataques. Según Rapid7 Revisión de amenazas de mitad de año para 2023, BlackCat se ha atribuido a 212 de un total de 1500 ataques de ransomware.
No es solo BlackCat, también se ha observado que el grupo de amenazas de ransomware Cuba (también conocido como COLDRAW) utiliza un conjunto de herramientas de ataque integral que incluye BUGHATCH, un descargador personalizado; BURNTCIGAR, un asesino antimalware; Wedgecut, una utilidad de enumeración de hosts; metasploit; y marcos Cobalt Strike.
BURNTCIGAR, en particular, presenta modificaciones ocultas para incorporar una lista codificada con hash de procesos específicos para terminar, probablemente en un intento de impedir el análisis.
Se dice que uno de los ataques montados por el grupo a principios de junio de 2023 utilizó como armas CVE-2020-1472 (Zerologon) y CVE-2023-27532, una falla de alta gravedad en el software Veeam Backup & Replication que ha sido explotada previamente por el Módulo FIN7, para acceso inicial.
BlackBerry, empresa canadiense de ciberseguridad dicho marca el «primer uso observado del grupo de un exploit para la vulnerabilidad de Veeam CVE-2023-27532».
«Los operadores de ransomware de Cuba continúan reciclando la infraestructura de la red y utilizan un conjunto básico de TTP que han estado modificando sutilmente de una campaña a otra, a menudo adoptando componentes fácilmente disponibles para actualizar su conjunto de herramientas cada vez que surge la oportunidad», agregó.
El ransomware sigue siendo una importante fuente de ingresos para los actores de amenazas motivados financieramente, y creció tanto en sofisticación como en cantidad en la primera mitad de 2023 que en todo 2022, a pesar de los esfuerzos intensificados de las fuerzas del orden para acabar con ellos.
Algunos grupos también han comenzado a pasar del cifrado a la pura exfiltración y rescate o, alternativamente, recurren a la triple extorsión, en la que los ataques van más allá del cifrado y el robo de datos para chantajear a los empleados o clientes de la víctima y realizar ataques DDoS para ejercer más presión.
Otra táctica notable es la selección de proveedores de servicios administrados (MSP) como puntos de entrada para violar las redes corporativas descendentes, como se evidencia en una campaña de ransomware Play dirigida a las industrias de finanzas, software, legal y de envío y logística, así como a los estados, locales, entidades tribales y territoriales (SLTT) en los EE. UU., Australia, el Reino Unido e Italia.
El ataques aprovechar «Software de administración y monitoreo remoto (RMM) utilizado por los proveedores de servicios para obtener acceso directo al entorno de un cliente, eludiendo la mayoría de sus defensas», Adlumin dichootorgando a los actores de amenazas un acceso privilegiado y sin restricciones a las redes.
El abuso repetido del software RMM legítimo por parte de los actores de amenazas ha llevado al gobierno de los EE. UU. a publicar un Plan de Defensa Cibernética para mitigar las amenazas al ecosistema RMM.
«Los actores de amenazas cibernéticas pueden afianzarse a través del software RMM en proveedores de servicios administrados (MSP) o administrar servidores de proveedores de servicios de seguridad (MSSP) y, por extensión, pueden causar impactos en cascada para las organizaciones pequeñas y medianas que son clientes de MSP/MSSP. la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advertido.