Según un
nuevo aviso de CISA
y el FBI, el
ransomware BlackSuit (ex Royal)
ha exigido hasta 500 millones de dólares en rescates hasta la fecha, y una
demanda de rescate individual alcanzó los 60 millones de dólares.
«Los actores de BlackSuit han mostrado su disposición a negociar los montos
de pago»,
dijeron las agencias.
«Los montos de los rescates no son parte de la nota de rescate inicial,
sino que requieren una interacción directa con el actor de la amenaza a
través de una URL .onion (accesible a través del navegador Tor)
proporcionada después del cifrado».
Los ataques que involucran ransomware se han dirigido a varios sectores de
infraestructura crítica que abarcan instalaciones comerciales, atención médica
y salud pública, instalaciones gubernamentales y fabricación crítica.
Esta evolución del
ransomware Royal, aprovecha el acceso inicial obtenido a través de correos electrónicos de
phishing para desactivar el software antivirus y exfiltrar datos
confidenciales antes de implementar finalmente el ransomware y cifrar los
sistemas.
Otras vías de infección comunes incluyen el uso del Protocolo de escritorio
remoto (RDP), la explotación de aplicaciones vulnerables que dan a Internet y
el acceso adquirido a través de Intermediarios de Acceso Inicial (IAB).
Se sabe que los actores de BlackSuit utilizan software y herramientas
legítimos de monitorización y gestión remota (RMM) como el malware
SystemBC
y
GootLoader
para mantener la persistencia en las redes de las víctimas.
Se ha observado que los actores de BlackSuit utilizan SharpShares y
SoftPerfect NetWorx para enumerar las redes de las víctimas. También se han
encontrado en los sistemas de las víctimas la herramienta de robo de
credenciales Mimikatz, disponible públicamente, y las herramientas de
recolección de contraseñas de Nirsoft. A menudo se utilizan herramientas como
PowerTool y GMER para matar procesos del sistema.
CISA y el FBI han advertido de un aumento en los casos en los que las víctimas
reciben comunicaciones telefónicas o por correo electrónico de los actores de
BlackSuit sobre el ataque y el rescate, una táctica que cada vez adoptan más
las bandas de ransomware para aumentar la presión.
«En los últimos años, los actores de amenazas parecen estar cada vez más
interesados no solo en amenazar directamente a las organizaciones, sino
también a las víctimas secundarias», dijo la firma de ciberseguridad Sophos en un
informe
publicado esta semana.
«Por ejemplo, como se informó en enero de 2024, los atacantes amenazaron
con ‘atacar’ a los pacientes de un hospital oncológico y enviaron mensajes
de texto amenazantes a la esposa de un director ejecutivo».
Eso no es todo. Los actores de amenazas también han afirmado que evalúan los
datos robados en busca de evidencia de actividad ilegal, incumplimiento
normativo y discrepancias financieras, llegando incluso al extremo de afirmar
que un empleado de una organización comprometida había estado buscando
material de abuso sexual infantil publicando el historial de su navegador web.
Estos métodos agresivos no solo pueden usarse como una herramienta adicional
para obligar a sus objetivos a pagar, sino que también infligen daño a la
reputación al criticarlos por ser poco éticos o negligentes.
El desarrollo se produce en medio de la aparición de nuevas familias de
ransomware como
Lynx,
OceanSpy,
Radar,
Zilla
(variante de Crysis/Dharma), y
Zola
(variante del ransomware Proton), incluso cuando los grupos de ransomware
existentes están constantemente evolucionando su modus operandi incorporando
nuevas herramientas a su arsenal.
Un ejemplo de caso es
Hunters International, que ha sido observado utilizando un nuevo malware basado en C# llamado
SharpRhino como vector de infección inicial y un troyano de acceso remoto
(RAT). Una variante de la familia de malware
ThunderShell, se distribuye a través de un dominio de Typosquatting que se hace
pasar por la popular herramienta de administración de red Angry IP Scanner.
Vale la pena señalar que se han detectado
campañas de publicidad maliciosa
que distribuyen el malware tan recientemente como enero de 2024. El RAT de
código abierto también se llama
Parcel RAT
y
SMOKEDHAM.
«Al ejecutarse, establece persistencia y proporciona al atacante acceso
remoto al dispositivo, que luego se utiliza para avanzar en el ataque»,
dijo
el investigador de Quorum Cyber, Michael Forret.
«Usando técnicas nunca antes vistas, el malware puede obtener un alto nivel
de permiso en el dispositivo para garantizar que el atacante pueda continuar
con su ataque con una interrupción mínima».
Se considera que Hunters International es una nueva marca del ahora
desaparecido grupo de ransomware Hive.
Detectado por primera vez en octubre de 2023, se ha atribuido la
responsabilidad de 134 ataques en los primeros siete meses de 2024.
Fuente:
THN