La cepa de ransomware basada en Linux recientemente descubierta conocida como Cheerscrypt ha sido descubierta como obra de un grupo de ciberespionaje chino conocido por operar esquemas de ransomware de corta duraci\u00f3n.<\/p>\n
La firma de seguridad cibern\u00e9tica Sygnia atribuy\u00f3 los ataques a un actor de amenazas que rastrea bajo el nombre de Emperor Dragonfly, que tambi\u00e9n se conoce como Bronze Starlight (Secureworks) y DEV-0401 (Microsoft).<\/p>\n
“Emperor Dragonfly implement\u00f3 herramientas de c\u00f3digo abierto que fueron escritas por desarrolladores chinos para usuarios chinos”, dijo la compa\u00f1\u00eda en un comunicado. reporte<\/a> compartido con The Hacker News. “Esto refuerza las afirmaciones de que los operadores de ransomware ‘Emperor Dragonfly’ tienen su sede en China”.<\/p>\n El uso de Cheerscrypt es la \u00faltima incorporaci\u00f3n a una larga lista de familias de ransomware implementadas anteriormente por el grupo en poco m\u00e1s de un a\u00f1o, incluidas LockFile, Atom Silo, Rook, Night Sky, Pandora y LockBit 2.0.<\/p>\n Secureworks, en su perfil del grupo, se\u00f1alado<\/a> “Es plausible que Bronze Starlight implemente ransomware como una cortina de humo en lugar de obtener ganancias financieras, con la motivaci\u00f3n subyacente de robar propiedad intelectual o realizar espionaje”.<\/p>\n Cheerscrypt fue documentado por primera vez<\/a> por Trend Micro en mayo de 2022, destacando sus capacidades para apuntar a los servidores VMware ESXi como parte de una t\u00e1ctica probada llamada doble extorsi\u00f3n para obligar a sus v\u00edctimas a pagar el rescate o arriesgarse a exponer los datos.<\/p>\n Tambi\u00e9n ha afirmado ser pro-ucraniano, mostrando un “\u00a1Gloria a Ucrania!<\/a>“mensaje en su sitio de fuga de datos de la web oscura.<\/p>\n Curiosamente, las acciones de ransomware se superponen con la versi\u00f3n de Linux del ransomware Babuk, cuyo c\u00f3digo fuente se filtr\u00f3 en septiembre de 2021 y tambi\u00e9n forma la base de las familias Rook, Night Sky y Pandora de Emperor Dragonfly.<\/p>\n El modus operandi del actor de amenazas se destaca a\u00fan m\u00e1s por su manejo de todas las etapas del ciclo de vida del ataque de ransomware, desde el acceso inicial hasta la implementaci\u00f3n del ransomware, sin depender de afiliados ni intermediarios de acceso. Microsoft describi\u00f3 a DEV-0401 como un actor de “lobo solitario”.<\/p>\n Las cadenas de infecci\u00f3n observadas hasta la fecha han hecho uso de la vulnerabilidad cr\u00edtica Log4Shell en la biblioteca Apache Log4j para comprometer los servidores de VMware Horizon y dejar caer una carga \u00fatil de PowerShell capaz de entregar una baliza Cobalt Strike cifrada.<\/p>\n Sygnia dijo que tambi\u00e9n descubri\u00f3 tres herramientas adicionales basadas en Go implementadas junto con la baliza: una registrador de teclas<\/a> que exporta las pulsaciones de teclas registradas a Alibaba Cloud, una utilidad de proxy de Internet llamada iox<\/a>y un software de tunelizaci\u00f3n conocido como NSP<\/a>.<\/p>\n Los v\u00ednculos de Cheerscrypt con Emperor Dragonfly se derivan de las similitudes en los vectores de acceso inicial, las t\u00e9cnicas de movimiento lateral y el despliegue de la baliza codificada Cobalt Strike a trav\u00e9s de Carga lateral de DLL<\/a>.<\/p>\n “Emperor Dragonfly es un operador de ransomware con sede en China, lo que lo convierte en una rareza en el panorama de amenazas actual”, dijeron los investigadores, y agregaron que “un solo actor de amenazas realiz\u00f3 toda la operaci\u00f3n”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1664946555_491_Investigadores-vinculan-el-ransomware-Cheerscrypt-basado-en-Linux-con-piratas.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n