Los actores de amenazas asociados con el ransomware Cuba se han vinculado a t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) previamente no documentados, incluido un nuevo troyano de acceso remoto llamado RATA ROMCOM<\/b> en sistemas comprometidos.<\/p>\n
los nuevos hallazgos<\/a> provienen del equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks, que est\u00e1 rastreando el grupo de ransomware de doble extorsi\u00f3n bajo el apodo con tema de constelaci\u00f3n<\/a> escorpio tropical<\/strong>.<\/p>\n Cuba ransomware (tambi\u00e9n conocido como ESTIRADO EN FR\u00cdO<\/a>), que se detect\u00f3 por primera vez en diciembre de 2019, resurgi\u00f3 en el panorama de amenazas en noviembre de 2021 y se ha atribuido a ataques contra 60 entidades en cinco sectores de infraestructura cr\u00edtica, acumulando al menos 43,9 millones de d\u00f3lares en pagos de rescate.<\/p>\n De las 60 v\u00edctimas enumeradas en su sitio de fuga de datos, 40 se encuentran en los EE. UU., lo que indica una distribuci\u00f3n no tan global de organizaciones objetivo como otras bandas de ransomware.<\/p>\n “Cuba ransomware se distribuye a trav\u00e9s del malware Hancitor, un cargador conocido por colocar o ejecutar ladrones, como troyanos de acceso remoto (RAT) y otros tipos de ransomware, en las redes de las v\u00edctimas”, seg\u00fan un alerta diciembre 2021<\/a> de la Oficina Federal de Investigaciones (FBI) de los Estados Unidos.<\/p>\n “Los actores de malware Hancitor utilizan correos electr\u00f3nicos de phishing, vulnerabilidades de Microsoft Exchange, credenciales comprometidas o herramientas leg\u00edtimas de Protocolo de escritorio remoto (RDP) para obtener acceso inicial a la red de una v\u00edctima”.<\/p>\n En los meses intermedios, la operaci\u00f3n de ransomware recibi\u00f3 actualizaciones sustanciales con el objetivo de “optimizar su ejecuci\u00f3n, minimizar el comportamiento no deseado del sistema y brindar soporte t\u00e9cnico a las v\u00edctimas de ransomware si deciden negociar”. se\u00f1alado<\/a> Trend Micro en junio.<\/p>\n El principal de los cambios abarc\u00f3 la finalizaci\u00f3n de m\u00e1s procesos antes del cifrado (a saber, Microsoft Outlook, Exchange y MySQL), la ampliaci\u00f3n de los tipos de archivos que se excluir\u00e1n y la revisi\u00f3n de su nota de rescate para ofrecer asistencia a las v\u00edctimas a trav\u00e9s de quTox.<\/p>\n Tambi\u00e9n se cree que Tropical Scorpius comparte conexiones con un mercado de extorsi\u00f3n de datos llamado Industrial Spy, como reportado<\/a> por Bleeping Computer en mayo de 2022, con los datos extra\u00eddos luego de un ataque de ransomware de Cuba publicados para la venta en el portal il\u00edcito en lugar de su propio sitio de fuga de datos.<\/p>\n Las \u00faltimas actualizaciones observadas por la Unidad 42 en mayo de 2022 tienen que ver con las t\u00e1cticas de evasi\u00f3n de defensa empleadas antes de la implementaci\u00f3n del ransomware para pasar desapercibido y moverse lateralmente por el entorno de TI comprometido.<\/p>\n “Tropical Scorpius aprovech\u00f3 un cuentagotas que escribe un controlador de kernel en el sistema de archivos llamado ApcHelper.sys”, se\u00f1al\u00f3 la compa\u00f1\u00eda. “Esto tiene como objetivo y finaliza los productos de seguridad. El cuentagotas no se firm\u00f3, sin embargo, el controlador del kernel se firm\u00f3 con el certificado que se encuentra en la fuga de LAPSUS $ NVIDIA”.<\/p>\n La tarea principal del controlador del kernel es finalizar los procesos asociados con los productos de seguridad para eludir la detecci\u00f3n. Tambi\u00e9n se incorpora en la cadena de ataque una herramienta de escalada de privilegios local descargada de un servidor remoto para obtener permisos de SISTEMA. <\/p>\n Esto, a su vez, se logra activando un exploit para CVE-2022-24521 (puntuaci\u00f3n CVSS: 7.8), una falla en el Sistema de archivos de registro comunes de Windows (CLFS) que Microsoft corrigi\u00f3 como una falla de d\u00eda cero en abril de 2022. .<\/p>\n El paso de escalada de privilegios es seguido por la realizaci\u00f3n de actividades de reconocimiento del sistema y movimiento lateral a trav\u00e9s de herramientas como ADFind y Net Scan, al mismo tiempo que se usa una utilidad ZeroLogon que explota CVE-2020-1472 para obtener derechos de administrador de dominio.<\/p>\n Adem\u00e1s, la intrusi\u00f3n allana el camino para la implementaci\u00f3n de una nueva puerta trasera llamada ROMCOM RAT, que est\u00e1 equipada para iniciar un shell inverso, eliminar archivos arbitrarios, cargar datos en un servidor remoto y recopilar una lista de procesos en ejecuci\u00f3n.<\/p>\n Se dice que el troyano de acceso remoto, por Unidad 42, est\u00e1 en desarrollo activo, ya que la firma de ciberseguridad descubri\u00f3 una segunda muestra cargada en la base de datos VirusTotal el 20 de junio de 2022.<\/p>\n La variante mejorada viene con soporte para un conjunto ampliado de 22 comandos, contando con la capacidad de descargar cargas \u00fatiles personalizadas para capturar capturas de pantalla, as\u00ed como extraer una lista de todas las aplicaciones instaladas para enviarlas al servidor remoto.<\/p>\n “Tropical Scorpius sigue siendo una amenaza activa”, dijeron los investigadores. “La actividad del grupo deja en claro que un enfoque de comercio que utiliza un h\u00edbrido de herramientas m\u00e1s matizadas que se enfoca en los componentes internos de Windows de bajo nivel para la evasi\u00f3n de defensa y la escalada de privilegios locales puede ser muy efectivo durante una intrusi\u00f3n.<\/p>\n Los hallazgos surgen como grupos emergentes de ransomware como Tormentoso<\/a>, Vice Sociedad<\/a>Luna, bit s\u00f3lido<\/a>y BlueSky contin\u00faan proliferando y evolucionando en el ecosistema del cibercrimen, al mismo tiempo que utilizan t\u00e9cnicas de encriptaci\u00f3n y mecanismos de entrega avanzados.<\/p>\n SolidBit se destaca particularmente por su orientaci\u00f3n a usuarios de videojuegos populares y plataformas de redes sociales haci\u00e9ndose pasar por diferentes aplicaciones como el verificador de cuentas de League of Legends, Social Hacker e Instagram Follower Bot, lo que permite a los actores lanzar una amplia red de posibles v\u00edctimas.<\/p>\n “SolidBit ransomware se compila usando .NET y en realidad es una variante de Yashma ransomware, tambi\u00e9n conocido como Chaos”, Trend Micro se\u00f1alado<\/a> en un art\u00edculo la semana pasada.<\/p>\n “Es posible que los actores del ransomware de SolidBit est\u00e9n trabajando actualmente con el desarrollador original del ransomware Yashma y probablemente modificaron algunas funciones del generador Chaos, y luego lo rebautizaron como SolidBit”.<\/p>\n Se sabe que BlueSky, por su parte, utiliza subprocesos m\u00faltiples para cifrar archivos en el host para un cifrado m\u00e1s r\u00e1pido, sin mencionar que adopta t\u00e9cnicas antian\u00e1lisis para ofuscar su apariencia.<\/p>\n La carga \u00fatil del ransomware, que comienza con la ejecuci\u00f3n de un script de PowerShell recuperado de un servidor controlado por un atacante, tambi\u00e9n se disfraza como una aplicaci\u00f3n leg\u00edtima de Windows (“javaw.exe”).<\/p>\n “Los autores de ransomware est\u00e1n adoptando t\u00e9cnicas avanzadas modernas, como la codificaci\u00f3n y el cifrado de muestras maliciosas, o el uso de la entrega y carga de ransomware en varias etapas, para evadir las defensas de seguridad”, Unit 42 se\u00f1alado<\/a>.<\/p>\n “El ransomware BlueSky es capaz de cifrar archivos en los hosts de las v\u00edctimas a velocidades r\u00e1pidas con computaci\u00f3n multiproceso. Adem\u00e1s, el ransomware adopta t\u00e9cnicas de ofuscaci\u00f3n, como hash de API, para ralentizar el proceso de ingenier\u00eda inversa para el analista”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"cuba](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660230370_125_Los-piratas-informaticos-detras-de-los-ataques-de-Cuba-Ransomware.jpg\" "\\"cuba")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660230370_589_Los-piratas-informaticos-detras-de-los-ataques-de-Cuba-Ransomware.jpg\" "\\"Malware")
<\/div>\n