Es posible que un grupo de amenazas persistentes avanzadas (APT) con sede en China est\u00e9 implementando familias de ransomware de corta duraci\u00f3n como se\u00f1uelo para encubrir los verdaderos objetivos operativos y t\u00e1cticos detr\u00e1s de sus campa\u00f1as.<\/p>\n
El grupo de actividad, atribuido a un grupo de piratas inform\u00e1ticos denominado Luz de estrella de bronce<\/strong> por Secureworks, implica la implementaci\u00f3n de ransomware posterior a la intrusi\u00f3n, como LockFile, Atom Silo, Rook, Night Sky, Pandora y LockBit 2.0.<\/p>\n “El ransomware podr\u00eda distraer a los respondedores de incidentes de identificar la verdadera intenci\u00f3n de los actores de amenazas y reducir la probabilidad de atribuir la actividad maliciosa a un grupo de amenazas chino patrocinado por el gobierno”, dijeron los investigadores. dijo<\/a> en un nuevo informe. “En cada caso, el ransomware se dirige a un peque\u00f1o n\u00famero de v\u00edctimas durante un per\u00edodo de tiempo relativamente breve antes de que cese sus operaciones, aparentemente de forma permanente”.<\/p>\n Microsoft tambi\u00e9n rastrea Bronze Starlight, activo desde mediados de 2021, bajo el nombre de grupo de amenazas emergentes DEV-0401, y el gigante tecnol\u00f3gico enfatiza su participaci\u00f3n en todas las etapas del ciclo de ataque de ransomware, desde el acceso inicial hasta la implementaci\u00f3n de la carga \u00fatil.<\/p>\n A diferencia de otros grupos de RaaS que compran acceso a intermediarios de acceso inicial (IAB) para ingresar a una red, los ataques montados por el actor se caracterizan por el uso de vulnerabilidades sin parches que afectan a Exchange Server, Zoho ManageEngine ADSelfService Plus, Atlassian Confluence (incluida la falla recientemente revelada) y Apache Log4j.<\/p>\n En menos de un a\u00f1o, se dice que el grupo pas\u00f3 por hasta seis cepas de ransomware diferentes, como LockFile (agosto de 2021), Atom Silo (octubre), Rook (noviembre), Night Sky (diciembre), Pandora (febrero de 2022). ) y, m\u00e1s recientemente, LockBit 2.0 (abril).<\/p>\n Adem\u00e1s, se han descubierto similitudes entre LockFile y Atom Silo, as\u00ed como entre Rook, Night Sky y Pandora, los tres \u00faltimos derivados del ransomware Babuk, cuyo c\u00f3digo fuente se filtr\u00f3 en septiembre de 2021, lo que indica el trabajo de un actor com\u00fan.<\/p>\n “Debido a que DEV-0401 mantiene y con frecuencia cambia el nombre de sus propias cargas \u00fatiles de ransomware, pueden aparecer como diferentes grupos en informes basados \u200b\u200ben cargas \u00fatiles y evadir detecciones y acciones contra ellas”, Microsoft se\u00f1alado<\/a> el mes pasado.<\/p>\n Al afianzarse dentro de una red, se sabe que Bronze Starlight se basa en t\u00e9cnicas como el uso de Cobalt Strike y Windows Management Instrumentation (WMI<\/a>) para el movimiento lateral, aunque a partir de este mes, el grupo ha comenzado a reemplazar Cobalt Strike con el marco Sliver en sus ataques.<\/p>\n![\"Ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656094131_747_Piratas-informaticos-respaldados-por-el-estado-utilizan-ransomware-como-senuelo.jpg\" "\\"Ransomware")
<\/div>\n![\"Ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656094131_827_Piratas-informaticos-respaldados-por-el-estado-utilizan-ransomware-como-senuelo.jpg\" "\\"Ransomware")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1656094131_887_Piratas-informaticos-respaldados-por-el-estado-utilizan-ransomware-como-senuelo.jpg\")
<\/div>\n