El grupo de amenazas denominado UNC2165, que comparte numerosas superposiciones con un grupo de ciberdelincuencia con sede en Rusia conocido como Evil Corp, se ha relacionado con m\u00faltiples intrusiones de ransomware LockBit en un intento de eludir las sanciones impuestas por el Tesoro de EE. UU. en diciembre de 2019.<\/p>\n
“Estos actores han dejado de usar variantes exclusivas de ransomware para LockBit, un conocido ransomware como servicio (RaaS), en sus operaciones, lo que probablemente obstaculice los esfuerzos de atribuci\u00f3n para evadir sanciones”, dijo la firma de inteligencia de amenazas Mandiant. se\u00f1alado<\/a> en un an\u00e1lisis la semana pasada.<\/p>\n Activo desde 2019, se sabe que UNC2165 obtiene acceso inicial a las redes de las v\u00edctimas a trav\u00e9s de credenciales robadas y un malware de descarga basado en JavaScript llamado FakeUpdates (tambi\u00e9n conocido como SocGholish), aprovech\u00e1ndolo para implementar previamente el ransomware Hades.<\/p>\n Hades es el trabajo de un grupo de pirater\u00eda con motivaci\u00f3n financiera llamado Evil Corp, que tambi\u00e9n recibe los apodos de Gold Drake e Indrik Spider y se ha atribuido al infame troyano Dridex (tambi\u00e9n conocido como Bugat), as\u00ed como a otras cepas de ransomware como BitPaymer, DoppelPaymer. y WastedLocker en los \u00faltimos cinco a\u00f1os.<\/p>\n Se dice que el giro de UNC2165 de Hades a LockBit como t\u00e1ctica para eludir sanciones ocurri\u00f3 a principios de 2021.<\/p>\n Curiosamente, FakeUpdates tambi\u00e9n sirvi\u00f3 en el pasado como el vector de infecci\u00f3n inicial para distribuir Dridex que luego se us\u00f3 como un conducto para colocar BitPaymer y DoppelPaymer en sistemas comprometidos.<\/p>\n Mandiant dijo que not\u00f3 m\u00e1s similitudes entre UNC2165 y una actividad de ciberespionaje conectada con Evil Corp rastreada por la firma suiza de ciberseguridad PRODAFT bajo el nombre Lepisma<\/a> dirigido a entidades gubernamentales y empresas Fortune 500 en la UE y EE. UU.<\/p>\n A un compromiso inicial exitoso le sigue una serie de acciones como parte del ciclo de vida del ataque, que incluyen la escalada de privilegios, el reconocimiento interno, el movimiento lateral y el mantenimiento del acceso remoto a largo plazo, antes de entregar las cargas de ransomware.<\/p>\n Dado que las sanciones se utilizan como un medio para controlar los ataques de ransomware, lo que a su vez impide que las v\u00edctimas negocien con los actores de la amenaza, agregar un grupo de ransomware a una lista de sanciones, sin nombrar a las personas detr\u00e1s de \u00e9l, tambi\u00e9n se ha complicado por el hecho de que los sindicatos de ciberdelincuentes a menudo tienden a cerrar, reagrupar y cambiar de marca con un nombre diferente para eludir la aplicaci\u00f3n de la ley.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Fronton-botnet-ruso-de-IoT-disenado-para-ejecutar-campanas-de.png\")
<\/a><\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n