{"id":1688687,"date":"2025-04-26T12:30:55","date_gmt":"2025-04-26T12:30:55","guid":{"rendered":"https:\/\/teknomers.com\/es\/tymaker-utiliza-lagtoy-para-vender-acceso-a-pandillas-de-ransomware-de-cactus-para-una-doble-extorsion\/"},"modified":"2025-04-26T12:31:00","modified_gmt":"2025-04-26T12:31:00","slug":"tymaker-utiliza-lagtoy-para-vender-acceso-a-pandillas-de-ransomware-de-cactus-para-una-doble-extorsion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/tymaker-utiliza-lagtoy-para-vender-acceso-a-pandillas-de-ransomware-de-cactus-para-una-doble-extorsion\/","title":{"rendered":"Tymaker utiliza Lagtoy para vender acceso a pandillas de ransomware de cactus para una doble extorsi\u00f3n"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>26 de abril de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Malware \/ vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han detallado las actividades de un corredor de acceso inicial (IAB) doblado Fabricante de timas<\/strong> Eso se ha observado entregando acceso a pandillas de ransomware de doble extorsi\u00f3n como el cactus.<\/p>\n

El IAB se ha evaluado con confianza media para ser un actor de amenaza de motivaci\u00f3n financiera, escanear para sistemas vulnerables y implementar un malware personalizado llamado Lagtoy (tambi\u00e9n conocido como Holerun).<\/p>\n

“Lagtoy se puede usar para crear conchas inversas y ejecutar comandos en puntos finales infectados”, los investigadores de Cisco Talos Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura y Brandon White dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El malware fue documentado por primera vez por Mandiant, propiedad de Google, a fines de marzo de 2023, atribuyendo su uso a un actor de amenaza que rastrea como UNC961. El grupo de actividad tambi\u00e9n es conocido por otros nombres como la melod\u00eda de oro y el profeta ara\u00f1a.<\/p>\n

Se ha observado que el actor de amenaza aprovecha un enorme arsenal de fallas de seguridad conocidas en aplicaciones orientadas a Internet para obtener acceso inicial, seguido de realizar un reconocimiento, la cosecha de credenciales y el despliegue de Lagtoy en un lapso de una semana.<\/p>\n

Los atacantes tambi\u00e9n abren conexiones SSH a un host remoto para descargar una herramienta forense llamada Magnet Ram Capture para obtener un volcado de memoria de la m\u00e1quina en un probable intento de reunir las credenciales de la v\u00edctima.<\/p>\n

\"\"<\/a><\/div>\n

Lagtoy es dise\u00f1ado<\/a> Para contactar a un servidor de comando y control (C2) codificado para recuperar comandos para la ejecuci\u00f3n posterior en el punto final. Se puede utilizar para crear procesos y ejecutar comandos en usuarios especificados con privilegios correspondientes, por mandante.<\/p>\n

El malware tambi\u00e9n est\u00e1 equipado para procesar tres comandos desde el servidor C2 con un intervalo de sue\u00f1o de 11000 milisegundos entre ellos.<\/p>\n

“Despu\u00e9s de una pausa en la actividad de aproximadamente tres semanas, observamos que el grupo de ransomware de cactus llega a la empresa v\u00edctima utilizando credenciales robadas por Tymaker”, dijo Talos.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Basado en el tiempo de permanencia relativamente corto, la falta de robo de datos y la posterior entrega a Cactus, es poco probable que el fabricante de timbentos haya tenido ambiciones u objetivos motivados por espionaje”.<\/p>\n

En el incidente analizado por Talos, se dice que los afiliados de ransomware de cactus han realizado actividades de reconocimiento y persistencia antes de la exfiltraci\u00f3n y el cifrado de datos. Tambi\u00e9n se observan m\u00faltiples m\u00e9todos para configurar el acceso a largo plazo utilizando OpenSSH, Anydesk y Ehorus Agent.<\/p>\n

“TymaSker es un corredor de acceso inicial (IAB) motivado financieramente que adquiere acceso a organizaciones de alto valor y luego transfiere que el acceso a actores de amenaza secundaria que generalmente monetizan el acceso a trav\u00e9s de una doble extorsi\u00f3n y despliegue de ransomware”, dijo la compa\u00f1\u00eda.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n