{"id":910099,"date":"2023-08-18T21:00:41","date_gmt":"2023-08-18T21:00:41","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-variante-de-blackcat-ransomware-adopta-herramientas-avanzadas-impacket-y-remcom\/"},"modified":"2023-08-18T21:00:45","modified_gmt":"2023-08-18T21:00:45","slug":"nueva-variante-de-blackcat-ransomware-adopta-herramientas-avanzadas-impacket-y-remcom","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-variante-de-blackcat-ransomware-adopta-herramientas-avanzadas-impacket-y-remcom\/","title":{"rendered":"Nueva variante de BlackCat Ransomware adopta herramientas avanzadas Impacket y RemCom"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Microsoft revel\u00f3 el jueves que encontr\u00f3 una nueva versi\u00f3n del <strong>Gato negro<\/strong> ransomware (tambi\u00e9n conocido como ALPHV y Noberus) que incorpora herramientas como Impacket y RemCom para facilitar el movimiento lateral y la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<p>&#8220;El <a rel=\"nofollow noopener\" href=\"https:\/\/www.coresecurity.com\/core-labs\/open-source-tools\/impacket\" target=\"_blank\">herramienta de paquete<\/a> tiene m\u00f3dulos de descarga de credenciales y ejecuci\u00f3n de servicios remotos que podr\u00edan usarse para una amplia implementaci\u00f3n del ransomware BlackCat en entornos de destino&#8221;, dijo el equipo de inteligencia de amenazas de la compa\u00f1\u00eda. <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1692212191536066800\" target=\"_blank\">dicho<\/a> en una serie de publicaciones en X (anteriormente Twitter).<\/p>\n<p>&#8220;Esta versi\u00f3n de BlackCat tambi\u00e9n tiene la <a rel=\"nofollow noopener\" href=\"https:\/\/support.alertlogic.com\/hc\/en-us\/articles\/360034494351-Windows-Server-RemCom-Tool-Remote-ShellC%20and%20stream%20it%20back\" target=\"_blank\">herramienta de hack RemCom<\/a> incrustado en el ejecutable para la ejecuci\u00f3n remota de c\u00f3digo.  El archivo tambi\u00e9n contiene credenciales de destino comprometidas codificadas que los actores usan para el movimiento lateral y una mayor implementaci\u00f3n de ransomware&#8221;.<\/p>\n<p>RemCom, anunciado como una alternativa de c\u00f3digo abierto a PsExec, ha sido utilizado por actores de amenazas de estados nacionales chinos e iran\u00edes como <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/47455\/\" target=\"_blank\">Dalbit<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/chafer-latest-attacks-reveal-heightened-ambitions\" target=\"_blank\">Escarabajo<\/a> (tambi\u00e9n conocido como Remix Kitten) para moverse a trav\u00e9s de los entornos de las v\u00edctimas en el pasado.<\/p>\n<p>Redmond dijo que comenz\u00f3 a observar la nueva variante en los ataques realizados por un afiliado de BlackCat en julio de 2023.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/edWGl41h\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/European-Bank-Customers-Targeted-in-SpyNote-Android-Trojan-Campaign.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>El desarrollo <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/vxunderground\/status\/1692312621477777519\" target=\"_blank\">llega<\/a> m\u00e1s de dos meses despu\u00e9s de que IBM Security X-Force revelara los detalles de la versi\u00f3n actualizada de BlackCat, llamada Sphynx, que apareci\u00f3 por primera vez en febrero de 2023 con una velocidad de cifrado y sigilo mejorados, lo que apunta a los continuos esfuerzos realizados por los actores de amenazas para refinar y reestructurar el ransomware.<\/p>\n<p>&#8220;La muestra de ransomware BlackCat contiene m\u00e1s que una simple funcionalidad de ransomware, pero puede funcionar como un &#8216;juego de herramientas'&#8221;, se\u00f1al\u00f3 IBM Security X-Force a fines de mayo de 2023. &#8220;Una cadena adicional sugiere que las herramientas se basan en herramientas de Impacket&#8221;.<\/p>\n<p>El grupo de ciberdelincuencia, que lanz\u00f3 su operaci\u00f3n en noviembre de 2021, est\u00e1 marcado por una evoluci\u00f3n constante, y recientemente lanz\u00f3 un <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/hotforsecurity\/alphv-blackcat-ransomware-group-unveils-data-leak-api-to-amplify-extortion-efforts\/\" target=\"_blank\">API de fuga de datos<\/a> para aumentar la visibilidad de sus ataques.  Seg\u00fan Rapid7 <a rel=\"nofollow noopener\" href=\"https:\/\/www.rapid7.com\/blog\/post\/2023\/08\/17\/rapid7s-mid-year-threat-review\/\" target=\"_blank\">Revisi\u00f3n de amenazas de mitad de a\u00f1o<\/a> para 2023, BlackCat se ha atribuido a 212 de un total de 1500 ataques de ransomware.<\/p>\n<p>No es solo BlackCat, tambi\u00e9n se ha observado que el grupo de amenazas de ransomware Cuba (tambi\u00e9n conocido como COLDRAW) utiliza un conjunto de herramientas de ataque integral que incluye BUGHATCH, un descargador personalizado;  BURNTCIGAR, un asesino antimalware;  Wedgecut, una utilidad de enumeraci\u00f3n de hosts;  metasploit;  y marcos Cobalt Strike.<\/p>\n<p>BURNTCIGAR, en particular, presenta modificaciones ocultas para incorporar una lista codificada con hash de procesos espec\u00edficos para terminar, probablemente en un intento de impedir el an\u00e1lisis.<\/p>\n<p>Se dice que uno de los ataques montados por el grupo a principios de junio de 2023 utiliz\u00f3 como armas CVE-2020-1472 (Zerologon) y CVE-2023-27532, una falla de alta gravedad en el software Veeam Backup &#038; Replication que ha sido explotada previamente por el M\u00f3dulo FIN7, para acceso inicial.<\/p>\n<p>BlackBerry, empresa canadiense de ciberseguridad <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2023\/08\/cuba-ransomware-deploys-new-tools-targets-critical-infrastructure-sector-in-the-usa-and-it-integrator-in-latin-america\" target=\"_blank\">dicho<\/a> marca el &#8220;primer uso observado del grupo de un exploit para la vulnerabilidad de Veeam CVE-2023-27532&#8221;.<\/p>\n<p>&#8220;Los operadores de ransomware de Cuba contin\u00faan reciclando la infraestructura de la red y utilizan un conjunto b\u00e1sico de TTP que han estado modificando sutilmente de una campa\u00f1a a otra, a menudo adoptando componentes f\u00e1cilmente disponibles para actualizar su conjunto de herramientas cada vez que surge la oportunidad&#8221;, agreg\u00f3.<\/p>\n<p>El ransomware sigue siendo una importante fuente de ingresos para los actores de amenazas motivados financieramente, y creci\u00f3 tanto en sofisticaci\u00f3n como en cantidad en la primera mitad de 2023 que en todo 2022, a pesar de los esfuerzos intensificados de las fuerzas del orden para acabar con ellos.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/Cr7gkMdK\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\" width=\"728\" height=\"90\"\/><\/a><\/center><\/section>\n<p>Algunos grupos tambi\u00e9n han comenzado a pasar del cifrado a la pura exfiltraci\u00f3n y rescate o, alternativamente, recurren a la triple extorsi\u00f3n, en la que los ataques van m\u00e1s all\u00e1 del cifrado y el robo de datos para chantajear a los empleados o clientes de la v\u00edctima y realizar ataques DDoS para ejercer m\u00e1s presi\u00f3n.<\/p>\n<p>Otra t\u00e1ctica notable es la selecci\u00f3n de proveedores de servicios administrados (MSP) como puntos de entrada para violar las redes corporativas descendentes, como se evidencia en una campa\u00f1a de ransomware Play dirigida a las industrias de finanzas, software, legal y de env\u00edo y log\u00edstica, as\u00ed como a los estados, locales, entidades tribales y territoriales (SLTT) en los EE. UU., Australia, el Reino Unido e Italia.<\/p>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/socradar.io\/dark-web-profile-play-ransomware\/\" target=\"_blank\">ataques<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/ransomware-spotlight\/ransomware-spotlight-play\" target=\"_blank\">aprovechar<\/a> &#8220;Software de administraci\u00f3n y monitoreo remoto (RMM) utilizado por los proveedores de servicios para obtener acceso directo al entorno de un cliente, eludiendo la mayor\u00eda de sus defensas&#8221;, Adlumin <a rel=\"nofollow noopener\" href=\"https:\/\/adlumin.com\/post\/playcrypt-ransomware\/\" target=\"_blank\">dicho<\/a>otorgando a los actores de amenazas un acceso privilegiado y sin restricciones a las redes.<\/p>\n<p>El abuso repetido del software RMM leg\u00edtimo por parte de los actores de amenazas ha llevado al gobierno de los EE. UU. a publicar un Plan de Defensa Cibern\u00e9tica para mitigar las amenazas al ecosistema RMM.<\/p>\n<p>&#8220;Los actores de amenazas cibern\u00e9ticas pueden afianzarse a trav\u00e9s del software RMM en proveedores de servicios administrados (MSP) o administrar servidores de proveedores de servicios de seguridad (MSSP) y, por extensi\u00f3n, pueden causar impactos en cascada para las organizaciones peque\u00f1as y medianas que son clientes de MSP\/MSSP. la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2023\/08\/16\/cisa-releases-jcdc-remote-monitoring-and-management-rmm-cyber-defense-plan\" target=\"_blank\">advertido<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/08\/new-blackcat-ransomware-variant-adopts.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft revel\u00f3 el jueves que encontr\u00f3 una nueva versi\u00f3n del Gato negro ransomware (tambi\u00e9n conocido como ALPHV y<\/p>\n","protected":false},"author":1,"featured_media":910100,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,26909,4661,54395,30291,4664,4662,11109,200351,4668,4667,4654,4658,4659,4653,4655,212,4663,4883,200352,4666,4665,25649,4660],"class_list":["post-910099","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-adopta","tag-ataques-ciberneticos","tag-avanzadas","tag-blackcat","tag-como-hackear","tag-filtracion-de-datos","tag-herramientas","tag-impacket","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-programa-malicioso-ransomware","tag-ransomware","tag-remcom","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-variante","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/910099","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=910099"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/910099\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/910100"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=910099"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=910099"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=910099"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}