Resumen: Un grupo ransomware de origen ruso, ha estado reutilizando las herramientas personalizadas de otros grupos APT para lanzar amenazas contra sus víctimas.
En un informe publicado la semana pasada, investigadores de la firma en ciberseguridad israelí Security Joes, afirmaron haber descubierto un grupo ransomware que utilizaba una inusual cadena de ataque que implicaba el abuso de credenciales robadas para obtener acceso no autorizado a las redes de sus víctimas.
El caso tuvo lugar en febrero de este mismo año y fue caracterizado como un presunto compromiso inicial de un ataque ransomware.
Aunque la infección se contuvo en su etapa inicial, los atacantes emplearon múltiples herramientas postexplotación tales como ADFind, NetScan, SoftPerfect, LaZagne, así como un ejecutable de AccountRestore y una herramienta de túnel inverso denominada como Ligolo.
Ligolo es una herramienta creada para establecer túneles SOCKS5 o TCP desde una conexión inversa con total seguridad. Además de que forma parte del arsenal ampliamente utilizado por el reconocido grupo iraní, MuddyWater.
De acuerdo con los investigadores, el uso de Ligolo podría significar que los atacantes han estado reutilizando las herramientas de otros grupos de amenazas, con la finalidad de confundir a los analistas sobre la atribución de sus ataques.
Más adelante, los investigadores de Security Joes explicaron que la banda ransomware también ha hecho uso de una nueva variante de un malware denominado como Sockbot, esta contiene una serie de cambios para eliminar la necesidad de los parámetros de línea de comandos e incluir comprobaciones de su ejecución.
Es preciso destacar que la nueva variante de Sockbot está diseñada específicamente para exponer los activos internos de redes comprometidas de manera sigilosa y segura.
Finalmente, los investigadores mencionaron en el informe que la teoría de que la amenaza provenía de una banda ransomware rusa, había sido reforzada debido a que el ejecutable de AccountRestore contenía referencias codificadas en ruso.
Del mismo modo, se le instó a todos los usuarios a aplicar controles de acceso adicionales en los activos de sus organizaciones, para evitar cualquier compromiso a futuro, ya que los operadores detrás de esta nueva campaña, podrían ser clasificados como enemigos sofisticados y persistentes.
Recomendaciones: Se le insta a las organizaciones a mantener prácticas básicas de ciberseguridad y aplicar controles de acceso adicionales para los diferentes activos de la empresa. Referencias: https://thehackernews.com/2022/03/russian-ransomware-gang-retool-custom.html |
SÍGUENOS