Los miembros de la ahora desaparecida pandilla de ransomware Conti han puesto en pr\u00e1ctica una nueva variedad de malware desarrollada por actores de amenazas probablemente afiliados al grupo de ciberdelincuencia FIN7, lo que indica la colaboraci\u00f3n entre los dos equipos.<\/p>\n
El malware, denominado domin\u00f3<\/strong>est\u00e1 dise\u00f1ado principalmente para facilitar la explotaci\u00f3n de seguimiento en sistemas comprometidos, incluida la entrega de un ladr\u00f3n de informaci\u00f3n menos conocido que se ha anunciado para la venta en la web oscura desde diciembre de 2021.<\/p>\n “Ex miembros del sindicato TrickBot\/Conti […] han estado usando Domino desde al menos finales de febrero de 2023 para entregar el Proyecto N\u00e9mesis<\/b> ladr\u00f3n de informaci\u00f3n o puertas traseras m\u00e1s capaces como Cobalt Strike”, Charlotte Hammond, investigadora de seguridad de IBM Security X-Force dicho<\/a> en un informe publicado la semana pasada.<\/p>\n FIN7, tambi\u00e9n llamado Carbanak e ITG14, es un sindicato cibern\u00e9tico prol\u00edfico de habla rusa que se sabe que emplea una variedad de malware personalizado para implementar cargas \u00fatiles adicionales y ampliar sus m\u00e9todos de monetizaci\u00f3n.<\/p>\n Los an\u00e1lisis recientes de Mandiant, SentinelOne y PRODAFT, propiedad de Google, han revelado el papel del grupo como precursor de Maze y Ransomware Ryuk<\/a> ataques, sin mencionar la exposici\u00f3n de sus conexiones con las familias Black Basta, DarkSide, REvil y LockBit.<\/p>\n La \u00faltima ola de intrusiones, detectada por IBM Security X-Force hace dos meses, implica el uso de dave cargador<\/a>un encriptador previamente atribuido al grupo Conti (tambi\u00e9n conocido como Gold Blackburn, ITG23 o Wizard Spider), para implementar la puerta trasera de Domino.<\/p>\n Las conexiones potenciales de Domino con FIN7 provienen de la superposici\u00f3n del c\u00f3digo fuente con DICELOADER (tambi\u00e9n conocido como Lizar o Tirion), una familia de malware probada en el tiempo atribuida al grupo. El malware, por su parte, est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n confidencial b\u00e1sica y recuperar cargas \u00fatiles cifradas desde un servidor remoto.<\/p>\n Este artefacto de la siguiente etapa es un segundo cargador con nombre en c\u00f3digo Domino Loader, que alberga un ladr\u00f3n de informaci\u00f3n .NET encriptado denominado Project Nemesis que es capaz de acumular datos confidenciales del portapapeles, Discord, navegadores web, billeteras criptogr\u00e1ficas, servicios VPN y otras aplicaciones.<\/p>\n “Domino ha estado activo en la naturaleza desde al menos octubre de 2022, que es notablemente cuando las observaciones de Lizar comenzaron a disminuir”, se\u00f1al\u00f3 Hammond, indicando que los actores de amenazas pueden estar eliminando este \u00faltimo a favor del nuevo malware.<\/p>\n Otro v\u00ednculo crucial que une a Domino con FIN7 proviene de una campa\u00f1a de diciembre de 2022 que aprovech\u00f3 otro cargador llamado NewWorldOrder Loader para entregar las puertas traseras de Domino y Carbanak.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n Se dice que la puerta trasera y el cargador de Domino, ambos DLL de 64 bits escritos en Visual C++, se han utilizado para instalar Project Nemesis desde al menos octubre de 2022, antes de que los ex miembros de Conti lo usaran a principios de este a\u00f1o.<\/p>\n “Esto nos lleva a evaluar que los miembros de ITG14 responsables del desarrollo de Domino probablemente ten\u00edan una relaci\u00f3n con Project Nemesis y ofrecieron Domino y el ladr\u00f3n de informaci\u00f3n a los ex actores de amenazas de Conti como un paquete”, dijo Hammond. “Los ex miembros de Conti, a su vez, probablemente usaron el ladr\u00f3n de informaci\u00f3n del Proyecto N\u00e9mesis contra objetivos de menor valor”.<\/p>\n El uso de malware ladr\u00f3n por parte de los distribuidores de ransomware no tiene precedentes. En noviembre de 2022, Microsoft revel\u00f3 intrusiones montadas por un actor de amenazas conocido como DEV-0569 que aprovech\u00f3 software malicioso BATLOADER<\/a> para entregar Vidar y Cobalt Strike, el \u00faltimo de los cuales finalmente facilit\u00f3 los ataques de ransomware operados por humanos que distribuyeron Royal ransomware.<\/p>\n Esto ha planteado la posibilidad de que los ladrones de informaci\u00f3n se implementen durante infecciones de menor prioridad (por ejemplo, computadoras personales), mientras que aquellos que pertenecen a un dominio de Active Directory reciben Cobalt Strike.<\/p>\n “El uso de malware con v\u00ednculos con varios grupos en una sola campa\u00f1a, como Dave Loader, Domino Backdoor y Project Nemesis infostealer, destaca la complejidad que implica el seguimiento de los actores de amenazas, pero tambi\u00e9n proporciona informaci\u00f3n sobre c\u00f3mo y con qui\u00e9n operan”, Hammond. concluy\u00f3.<\/p>\n <\/p>\n![\"Ataques](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/FIN7-y-Ex-Conti-Cybercrime-Gangs-unen-fuerzas-en-ataques-de.jpg\" "\\"Ataques")
<\/div>\n