{"id":1355227,"date":"2024-09-10T18:24:17","date_gmt":"2024-09-10T18:24:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/cosmicbeetle-implementa-ransomware-scransom-personalizado-en-asociacion-con-ransomhub\/"},"modified":"2024-09-10T18:24:23","modified_gmt":"2024-09-10T18:24:23","slug":"cosmicbeetle-implementa-ransomware-scransom-personalizado-en-asociacion-con-ransomhub","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cosmicbeetle-implementa-ransomware-scransom-personalizado-en-asociacion-con-ransomhub\/","title":{"rendered":"CosmicBeetle implementa ransomware ScRansom personalizado en asociaci\u00f3n con RansomHub"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/CosmicBeetle-implementa-ransomware-ScRansom-personalizado-en-asociacion-con-RansomHub.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El actor de amenazas conocido como CosmicBeetle ha lanzado una nueva cepa de ransomware personalizada llamada ScRansom en ataques dirigidos a peque\u00f1as y medianas empresas (PYMES) en Europa, Asia, \u00c1frica y Sudam\u00e9rica, aunque probablemente tambi\u00e9n trabaje como afiliado de RansomHub.<\/p>\n<p>&#8220;CosmicBeetle reemplaz\u00f3 su ransomware previamente implementado, Scarab, con ScRansom, que se mejora continuamente&#8221;, dijo el investigador de ESET Jakub Sou\u010dek <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/cosmicbeetle-steps-up-probation-period-ransomhub\/\" target=\"_blank\">dicho<\/a> En un nuevo an\u00e1lisis publicado hoy, se afirma que &#8220;si bien no es de primera categor\u00eda, el actor de la amenaza es capaz de comprometer objetivos interesantes&#8221;.<\/p>\n<p>Los objetivos de los ataques de ScRansom abarcan los sectores de fabricaci\u00f3n, farmac\u00e9utico, legal, educaci\u00f3n, atenci\u00f3n m\u00e9dica, tecnolog\u00eda, hoteler\u00eda, ocio, servicios financieros y gobiernos regionales.<\/p>\n<p>CosmicBeetle es m\u00e1s conocido por un conjunto de herramientas maliciosas llamado Spacecolon que anteriormente se identific\u00f3 como utilizado para distribuir el ransomware Scarab en organizaciones v\u00edctimas a nivel mundial.<\/p>\n<p>Tambi\u00e9n conocido como NONAME, el adversario tiene antecedentes de experimentar con el constructor filtrado LockBit en un intento de hacerse pasar por la infame banda de ransomware en sus notas de rescate y el sitio de filtraci\u00f3n desde noviembre de 2023.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-what-is-a-trust-center\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1725974414_761_Expertos-identifican-tres-grupos-vinculados-a-China-que-estan-detras.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Actualmente no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s del ataque ni de d\u00f3nde proviene, aunque una hip\u00f3tesis anterior suger\u00eda que podr\u00edan ser de origen turco debido a la presencia de un esquema de cifrado personalizado utilizado en otra herramienta llamada ScHackTool. Sin embargo, ESET sospecha que esta atribuci\u00f3n ya no se sostiene.<\/p>\n<p>&#8220;El esquema de cifrado de ScHackTool se utiliza de forma leg\u00edtima <a rel=\"nofollow noopener\" href=\"https:\/\/vovsoft.com\/software\/disk-monitor-gadget\/\" target=\"_blank\">Dispositivo de monitorizaci\u00f3n de disco<\/a>&#8220;, se\u00f1al\u00f3 Sou\u010dek. &#8220;Es probable que este algoritmo haya sido adaptado [from a <a rel=\"nofollow noopener\" href=\"https:\/\/stackoverflow.com\/questions\/6798188\/delphi-simple-string-encryption\" target=\"_blank\">Stack Overflow thread<\/a>] por VOVSOFT [the Turkish software firm behind the tool] y, a\u00f1os despu\u00e9s, CosmicBeetle lo descubri\u00f3 y lo utiliz\u00f3 para ScHackTool&#8221;.<\/p>\n<p>Se han observado cadenas de ataque que aprovechan ataques de fuerza bruta y fallas de seguridad conocidas (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2017-0144\" target=\"_blank\">CVE-2017-0144<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2020-1472\" target=\"_blank\">CVE-2020-1472<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2021-42278\" target=\"_blank\">CVE-2021-42278<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-42287\" target=\"_blank\">CVE-2021-42287<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-42475\" target=\"_blank\">CVE-2022-42475<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2023-27532\" target=\"_blank\">CVE-2023-27532<\/a>) para infiltrarse en entornos objetivo.<\/p>\n<p>Las intrusiones implican adem\u00e1s el uso de diversas herramientas como <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/MrEmpy\/Reaper\" target=\"_blank\">Segador<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/ph4nt0mbyt3\/Darkside\" target=\"_blank\">Lado oscuro<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/myzxcg\/RealBlindingEDR\" target=\"_blank\">RealBlindingEDR<\/a> para finalizar los procesos relacionados con la seguridad para evitar la detecci\u00f3n antes de implementar el ransomware ScRansom basado en Delphi, que viene con soporte para cifrado parcial para acelerar el proceso y un modo &#8220;BORRAR&#8221; para hacer que los archivos sean irrecuperables sobrescribi\u00e9ndolos con un valor constante.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1725992656_253_CosmicBeetle-implementa-ransomware-ScRansom-personalizado-en-asociacion-con-RansomHub.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1725992656_253_CosmicBeetle-implementa-ransomware-ScRansom-personalizado-en-asociacion-con-RansomHub.png\" alt=\"Ransomware ScRansom\" border=\"0\" data-original-height=\"963\" data-original-width=\"1223\" title=\"Ransomware ScRansom\"\/><\/a><\/div>\n<p>La conexi\u00f3n con RansomHub se debe al hecho de que la empresa de ciberseguridad eslovaca detect\u00f3 la implementaci\u00f3n de las cargas \u00fatiles de ScRansom y RansomHub en la misma m\u00e1quina en el lapso de una semana.<\/p>\n<p>&#8220;Probablemente debido a los obst\u00e1culos que trae escribir un ransomware personalizado desde cero, CosmicBeetle intent\u00f3 aprovecharse de la reputaci\u00f3n de LockBit, posiblemente para enmascarar los problemas en el ransomware subyacente y, a su vez, aumentar las posibilidades de que las v\u00edctimas paguen&#8221;, dijo Sou\u010dek.<\/p>\n<h2 style=\"text-align: left;\">Cicada3301 lanza una versi\u00f3n actualizada<\/h2>\n<p>La revelaci\u00f3n se produce luego de que se observara que actores de amenazas vinculados al ransomware Cicada3301 (tambi\u00e9n conocido como Repellent Scorpius) utilizan una versi\u00f3n actualizada del cifrador desde julio de 2024.<\/p>\n<p>&#8220;Los autores de amenazas agregaron un nuevo argumento de l\u00ednea de comandos, &#8211;no-note&#8221;, Palo Alto Networks Unit 42 <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/repellent-scorpius-cicada3301-ransomware\" target=\"_blank\">dicho<\/a> En un informe compartido con The Hacker News, se afirma que &#8220;cuando se invoca este argumento, el cifrador no escribir\u00e1 la nota de rescate en el sistema&#8221;.<\/p>\n<p>Otra modificaci\u00f3n importante es la ausencia de nombres de usuario o contrase\u00f1as codificados en el binario, aunque todav\u00eda conserva la capacidad de ejecutar PsExec utilizando estas credenciales si existen, una t\u00e9cnica destacada recientemente por Morphisec.<\/p>\n<p>En un giro interesante, el proveedor de ciberseguridad dijo que observ\u00f3 se\u00f1ales de que el grupo tiene datos obtenidos de incidentes de compromiso m\u00e1s antiguos que anteceden a la operaci\u00f3n del grupo bajo la marca Cicada3301.<\/p>\n<p>Esto ha planteado la posibilidad de que el actor de la amenaza haya operado bajo una marca de ransomware diferente o haya comprado los datos a otros grupos de ransomware. Dicho esto, Unit 42 se\u00f1al\u00f3 que identific\u00f3 algunas superposiciones con <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/from-blackmatter-to-blackcat-analyzing\/\" target=\"_blank\">Otro ataque<\/a> llevado a cabo por un afiliado que implement\u00f3 el ransomware BlackCat en marzo de 2022.<\/p>\n<h2 style=\"text-align: left;\">BURNTCIGAR se convierte en un limpiador EDR<\/h2>\n<p>Los hallazgos tambi\u00e9n siguen una evoluci\u00f3n de un controlador de Windows firmado en modo kernel utilizado por m\u00faltiples bandas de ransomware para desactivar el software Endpoint Detection and Response (EDR) que le permite actuar como un limpiador para eliminar componentes cr\u00edticos asociados con esas soluciones, en lugar de eliminarlas.<\/p>\n<p>El malware en cuesti\u00f3n es POORTRY, que se distribuye mediante un cargador llamado STONESTOP para orquestar un ataque Bring Your Own Vulnerable Driver (BYOVD), eludiendo de manera efectiva las medidas de seguridad de Driver Signature Enforcement. Su capacidad de &#8220;forzar la eliminaci\u00f3n&#8221; de archivos en el disco fue detectada por primera vez por Trend Micro en mayo de 2023.<\/p>\n<p>POORTRY, detectado en 2021, tambi\u00e9n se conoce como BURNTCIGAR y ha sido utilizado por m\u00faltiples bandas de ransomware, incluidas CUBA, BlackCat, Medusa, LockBit y RansomHub a lo largo de los a\u00f1os.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;Tanto el ejecutable Stonestop como el controlador Poortry est\u00e1n muy comprimidos y ofuscados&#8221;, dijo Sophos <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2024\/08\/27\/burnt-cigar-2\/\" target=\"_blank\">dicho<\/a> En un informe reciente se afirma que &#8220;este cargador fue ofuscado por un empaquetador de c\u00f3digo cerrado llamado ASMGuard, disponible en GitHub&#8221;.<\/p>\n<p>POORTRY &#8220;se centra en deshabilitar productos EDR mediante una serie de t\u00e9cnicas diferentes, como la eliminaci\u00f3n o modificaci\u00f3n de las rutinas de notificaci\u00f3n del n\u00facleo. El asesino de EDR tiene como objetivo terminar los procesos relacionados con la seguridad y dejar inutilizable el agente EDR borrando archivos cr\u00edticos del disco&#8221;.<\/p>\n<p>El uso de una versi\u00f3n mejorada de POORTRY por parte de RansomHub es digno de menci\u00f3n a la luz del hecho de que tambi\u00e9n se ha observado que el grupo de ransomware utiliza otra herramienta anti-EDR denominada EDRKillShifter este a\u00f1o. <\/p>\n<p>&#8220;Es importante reconocer que los actores de amenazas han estado experimentando constantemente con diferentes m\u00e9todos para desactivar los productos EDR, una tendencia que hemos estado observando desde al menos 2022&#8221;, dijo Sophos a The Hacker News. &#8220;Esta experimentaci\u00f3n puede involucrar varias t\u00e1cticas, como explotar controladores vulnerables o usar certificados que se han filtrado involuntariamente u obtenido a trav\u00e9s de medios ilegales&#8221;.<\/p>\n<p>&#8220;Si bien podr\u00eda parecer que hay un aumento significativo en estas actividades, es m\u00e1s preciso decir que esto es parte de un proceso continuo en lugar de un aumento repentino&#8221;.<\/p>\n<p>&#8220;El uso de diferentes herramientas para eliminar EDR, como EDRKillShifter, por parte de grupos como RansomHub probablemente refleje esta experimentaci\u00f3n en curso. Tambi\u00e9n es posible que est\u00e9n involucrados diferentes afiliados, lo que podr\u00eda explicar el uso de m\u00e9todos variados, aunque sin informaci\u00f3n espec\u00edfica, no queremos especular demasiado sobre ese punto&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/cosmicbeetle-deploys-custom-scransom.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El actor de amenazas conocido como CosmicBeetle ha lanzado una nueva cepa de ransomware personalizada llamada ScRansom en<\/p>\n","protected":false},"author":1,"featured_media":1355228,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2550,4661,4664,99,252755,4881,4667,239182,4654,239508,4658,4659,4653,34994,243018,4883,252756,246983,4665,246984,246982,239484],"class_list":["post-1355227","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-asociacion","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-cosmicbeetle","tag-implementa","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-personalizado","tag-ransomhub","tag-ransomware","tag-scransom","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1355227","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1355227"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1355227\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1355228"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1355227"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1355227"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1355227"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}