{"id":745117,"date":"2023-05-09T08:10:46","date_gmt":"2023-05-09T08:10:46","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nueva-cepa-de-ransomware-cactus-aprovecha-las-fallas-de-vpn-para-infiltrarse-en-las-redes\/"},"modified":"2023-05-09T08:10:49","modified_gmt":"2023-05-09T08:10:49","slug":"la-nueva-cepa-de-ransomware-cactus-aprovecha-las-fallas-de-vpn-para-infiltrarse-en-las-redes","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nueva-cepa-de-ransomware-cactus-aprovecha-las-fallas-de-vpn-para-infiltrarse-en-las-redes\/","title":{"rendered":"La nueva cepa de ransomware ‘CACTUS’ aprovecha las fallas de VPN para infiltrarse en las redes"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>09 de mayo de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad de puntos finales\/ransomware<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los investigadores de seguridad cibern\u00e9tica arrojaron luz sobre una nueva cepa de ransomware llamada CACTUS que se descubri\u00f3 que aprovecha fallas conocidas en los dispositivos VPN para obtener acceso inicial a las redes objetivo.<\/p>\n

“Una vez dentro de la red, los actores de CACTUS intentan enumerar las cuentas de usuario locales y de la red, adem\u00e1s de los puntos finales alcanzables antes de crear nuevas cuentas de usuario y aprovechar los scripts personalizados para automatizar la implementaci\u00f3n y detonaci\u00f3n del cifrador de ransomware a trav\u00e9s de tareas programadas”, dijo Kroll en un informe. compartido con The Hacker News.<\/p>\n

Se ha observado que el ransomware se dirige a grandes entidades comerciales desde marzo de 2023, con ataques que emplean t\u00e1cticas de doble extorsi\u00f3n para robar datos confidenciales antes del cifrado. No se ha identificado ning\u00fan sitio de fuga de datos hasta la fecha.<\/p>\n

\"La<\/a><\/center><\/div>\n

Luego de una explotaci\u00f3n exitosa de dispositivos VPN vulnerables, se configura una puerta trasera SSH para mantener el acceso persistente y se ejecuta una serie de comandos de PowerShell para realizar un escaneo de la red e identificar una lista de m\u00e1quinas para el cifrado. <\/p>\n

Los ataques de CACTUS tambi\u00e9n utilizan Golpe de cobalto<\/a> y una herramienta de tunelizaci\u00f3n denominada Cincel<\/a> para comando y control, junto con software de administraci\u00f3n y monitoreo remoto (RMM) como AnyDesk para enviar archivos a los hosts infectados.<\/p>\n

Tambi\u00e9n se toman medidas para deshabilitar y desinstalar soluciones de seguridad, as\u00ed como para extraer credenciales de los navegadores web y el Servicio del subsistema de la autoridad de seguridad local (LSASS<\/a>) para escalar privilegios.<\/p>\n

A la escalada de privilegios le sigue el movimiento lateral, la exfiltraci\u00f3n de datos y la implementaci\u00f3n de ransomware, la \u00faltima de las cuales se logra mediante un secuencia de comandos de PowerShell<\/a> que tambi\u00e9n ha sido utilizado por basta negra<\/a>.<\/p>\n

Un aspecto novedoso de CACTUS es el uso de un script por lotes para extraer el binario del ransomware con 7-Zip, seguido de la eliminaci\u00f3n del archivo .7z antes de ejecutar la carga \u00fatil.<\/p>\n

“CACTUS esencialmente se encripta a s\u00ed mismo, lo que lo hace m\u00e1s dif\u00edcil de detectar y lo ayuda a evadir las herramientas antivirus y de monitoreo de red”, dijo a The Hacker News Laurie Iacono, directora general asociada de riesgo cibern\u00e9tico en Kroll.<\/p>\n

“Esta nueva variante de ransomware bajo el nombre de CACTUS aprovecha una vulnerabilidad en un dispositivo VPN popular, lo que muestra que los actores de amenazas contin\u00faan apuntando a los servicios de acceso remoto y las vulnerabilidades sin parches para el acceso inicial”.<\/p>\n

El desarrollo se produce d\u00edas despu\u00e9s de que Trend Micro arrojara luz sobre otro tipo de ransomware conocido como Rapture que tiene algunas similitudes con otras familias como Para\u00edso<\/a>. <\/p>\n

“Toda la cadena de infecci\u00f3n dura de tres a cinco d\u00edas como m\u00e1ximo”, dijo la empresa. dicho<\/a>con el reconocimiento inicial seguido de la implementaci\u00f3n de Cobalt Strike, que luego se usa para eliminar el ransomware basado en .NET.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n

\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

Se sospecha que la intrusi\u00f3n se facilita a trav\u00e9s de servidores y sitios web p\u00fablicos vulnerables, por lo que es imperativo que las empresas tomen medidas para mantener los sistemas actualizados y hacer cumplir el principio de privilegio m\u00ednimo (PoLP<\/a>).<\/p>\n

“Aunque sus operadores usan herramientas y recursos que est\u00e1n f\u00e1cilmente disponibles, han logrado usarlos de una manera que mejora las capacidades de Rapture al hacerlo m\u00e1s sigiloso y m\u00e1s dif\u00edcil de analizar”, dijo Trend Micro.<\/p>\n

CACTUS y Rapture son las \u00faltimas incorporaciones a una larga lista de nuevas familias de ransomware que han salido a la luz en las \u00faltimas semanas, incluidas gazprom<\/a>, BlackBit<\/a>, UNIZA<\/a>, akira<\/a>y una variante de ransomware NoCry llamada vector kadavro<\/a>.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n