Se ha observado que los actores de amenazas detrás del esquema de ransomware
como servicio (RaaS) RansomHub aprovechan las fallas de seguridad ahora
parcheadas en Microsoft Active Directory y el protocolo Netlogon para escalar
privilegios y obtener acceso no autorizado al controlador de dominio de la red
de una víctima como parte de su estrategia posterior al ataque.
-
Los operadores de RansomHub anunciaron estratégicamente el programa de
asociación del grupo en el foro RAMP el 2 de febrero de 2024. -
Los operadores de RansomHub aprovecharon el impacto de las operaciones de
aplicación de la ley en LockBit y ALPHV para lanzar un programa de
asociación y reclutar afiliados de estos grupos. -
Los actores de amenazas probablemente adquirieron el ransomware y el código
fuente de la aplicación web del grupo Knight (también conocido como
Cyclops). -
El ransomware funciona en diferentes sistemas operativos y arquitecturas,
incluidos x86, x64 y ARM, así como Windows, ESXi, Linux y FreeBSD. -
El grupo comenzó a utilizar PCHunter para detener y eludir las soluciones de
seguridad de endpoints. - RansomHub utilizó Filezilla como herramienta de exfiltración.
-
Los afiliados de RansomHub han revelado alrededor de 44 empresas de atención
médica, incluidos hospitales y clínicas. -
Los afiliados pueden eventualmente amenazar y denunciar incidentes
cibernéticos a reguladores como PDPL (Ley de Protección de Datos
Personales).
«RansomHub ha atacado a más de 600 organizaciones en todo el mundo, que
abarcan sectores como la atención médica, las finanzas, el gobierno y la
infraestructura crítica, lo que lo establece firmemente como el grupo de
ransomware más activo en 2024», dijeron los analistas de Group-IB en un
informe
exhaustivo publicado esta semana.
El grupo de ransomware
surgió en febrero de 2024, adquiriendo el código fuente asociado con la ahora desaparecida banda
Knight (anteriormente Cyclops) RaaS del foro de ciberdelito RAMP para acelerar
sus operaciones. Aproximadamente cinco meses después, se anunció una versión
actualizada del locker en el mercado ilícito con capacidades para
cifrar datos de forma remota a través del protocolo SFTP.
RansomHub se presenta en múltiples variantes capaces de cifrar archivos en
servidores Windows, VMware ESXi y SFTP. También se ha observado que
RansomHub recluta activamente afiliados de los grupos LockBit y BlackCat
como parte de un programa de asociación, lo que indica un intento de sacar
provecho de las acciones de las fuerzas del orden dirigidas a sus
rivales.
En el incidente analizado por la empresa de ciberseguridad de Singapur, se
dice que el actor de la amenaza intentó sin éxito explotar una falla crítica
que afecta a los dispositivos PAN-OS de Palo Alto Networks (CVE-2024-3400) utilizando una prueba de concepto (PoC) disponible públicamente, antes de
finalmente vulnerar la red de la víctima mediante un ataque de fuerza bruta
contra el servicio VPN.
«Este intento de fuerza bruta se basó en un diccionario enriquecido de más
de 5.000 nombres de usuario y contraseñas. El atacante finalmente obtuvo
acceso a través de una cuenta predeterminada que se usa con frecuencia en
soluciones de respaldo de datos, y finalmente se vulneró el perímetro».
Luego se abusó del acceso inicial para llevar a cabo el ataque de ransomware,
y tanto el cifrado como la exfiltración de datos se produjeron dentro de las
24 horas posteriores a la vulneración. En particular, implicó la utilización
de dos fallas de seguridad conocidas en Active Directory (CVE-2021-42278, también conocida como noPac) y el protocolo Netlogon (CVE-2020-1472, también conocida como
ZeroLogon) para tomar el control del controlador de dominio y realizar movimientos
laterales a través de la red.
«La explotación de las vulnerabilidades mencionadas anteriormente permitió
al atacante obtener acceso privilegiado completo al controlador de dominio,
que es el centro neurálgico de una infraestructura basada en Microsoft
Windows», dijeron los investigadores.
«Tras completar las operaciones de exfiltración, el atacante preparó el
entorno para la fase final del ataque. El atacante operó para hacer que
todos los datos de la empresa, guardados en los distintos NAS, fueran
completamente ilegibles e inaccesibles, así como imposibles de restaurar,
con el objetivo de obligar a la víctima a pagar el rescate para recuperar
sus datos».
Otro aspecto notable del ataque es el uso de PCHunter para detener y eludir
las soluciones de seguridad de endpoints, así como de Filezilla para la
exfiltración de datos. PCHunter es una pequeña utilidad todo en uno
desarrollada para detectar y eliminar malware, incluidos rootkits, que permite
el acceso a varias configuraciones del sistema, como kernels y módulos de
kernel, procesos, red, inicio y mucho más.
«Este entorno prospera gracias al intercambio, la reutilización y el cambio
de marca de herramientas y códigos fuente, lo que alimenta un sólido mercado
clandestino en el que las víctimas de alto perfil, los grupos infames y las
importantes sumas de dinero desempeñan papeles centrales».
El desarrollo se produce cuando la empresa de ciberseguridad detalló el
funcionamiento interno de un «formidable operador de RaaS» conocido como
Lynx, arrojando luz sobre su flujo de trabajo de afiliados, su arsenal de
ransomware multiplataforma para entornos Windows, Linux y ESXi, y modos de
cifrado personalizables.
Un
análisis de las versiones de Windows y Linux
del ransomware muestra que se parece mucho al ransomware INC, lo que indica
que los actores de la amenaza probablemente adquirieron el código fuente de
este último.
«Los afiliados reciben un incentivo con una participación del 80% de las
ganancias del rescate, lo que refleja una estrategia competitiva impulsada
por el reclutamiento. Recientemente, Lynx ha añadido varios modos de
cifrado: rápido, medio, lento y completo, lo que ofrece a los afiliados la
libertad de ajustar la relación entre velocidad y profundidad del cifrado de
archivos».
Las publicaciones de reclutamiento del grupo en foros clandestinos destacan un
estricto proceso de verificación para los pentesters y los equipos de
intrusión capacitados, lo que pone de relieve el énfasis de Lynx en la
seguridad operativa y el control de calidad. También ofrecen «centros de
atención telefónica» para las víctimas de acoso y soluciones de almacenamiento
avanzadas para los afiliados que ofrecen constantemente resultados rentables.
En las últimas semanas, también se han observado ataques con motivaciones
económicas que utilizan el malware de botnet
Phorpiex
(también conocido como Trik) propagado a través de correos electrónicos de
phishing para distribuir el ransomware LockBit.
«A diferencia de los incidentes anteriores de ransomware LockBit, los
actores de la amenaza confiaron en Phorpiex para distribuir y ejecutar el
ransomware LockBit»,
señaló Cybereason en un análisis.
«Esta técnica es única, ya que la implementación del ransomware
generalmente consiste en operadores humanos que realizan el ataque».
Otro vector de infección inicial significativo se refiere a la explotación de
dispositivos VPN sin parches (por ejemplo, CVE-2021-20038) para obtener acceso
a dispositivos y hosts de red internos y, en última instancia, implementar el
ransomware
Abyss Locker.
Los ataques también se caracterizan por el uso de herramientas de tunelización
para mantener la persistencia, así como por el aprovechamiento de técnicas
Bring Your Own Vulnerable Driver (BYOVD) para deshabilitar los controles de
protección de endpoints.
«Después de obtener acceso al entorno y realizar un reconocimiento, estas
herramientas de tunelización se implementan estratégicamente en dispositivos
de red críticos, incluidos hosts ESXi, hosts Windows, dispositivos VPN y
dispositivos de almacenamiento conectados a red (NAS)», dijeron los investigadores de Sygnia.
«Al atacar estos dispositivos, los atacantes aseguran canales de
comunicación robustos y confiables para mantener el acceso y orquestar sus
actividades maliciosas en toda la red comprometida».
El panorama del ransomware, liderado por
actores de amenazas nuevos y antiguos, sigue en un estado de cambio, con ataques que van desde el cifrado
tradicional hasta el robo de datos y la extorsión, incluso cuando las víctimas
se niegan cada vez más a pagar, lo que lleva a una
disminución de los pagos
en 2024.
«Grupos como RansomHub y Akira ahora incentivan los datos robados con
grandes recompensas, lo que hace que estas tácticas sean bastante
lucrativas», dijo la firma de ciberseguridad
Huntress.
Fuente: Group-IB