Según las últimas investigaciones, un grupo activo de hackers que anteriormente estaba usando un malware denominado Thieflock, ha cambiado a Yanluowang, una nueva «cepa» de ransomware muy sofisticada.
Como ya es habitual, muchos desarrolladores de ransomware ofrecen su software como servicio (RaaS) a otros grupos que son los que atacan a empresas y organismos de todo el mundo.
Investigadores de Symantec afirman que si los autores de Yuanluowang están operando un RaaS, es muy probable que otros grupos pronto comiencen a usar el malware también.
Para nosotros, la conclusión principal es que Yanluowang parece estar estableciéndose en el mercado del ciberdelito y está ganando terreno entre los posibles colaboradores. Si Yanluowang está aquí para quedarse, las organizaciones deben familiarizarse con los TTP asociados con este grupo y asegurarse de que están bien situados para defenderse de ellos.
Alan Neville, analista de amenazas de Symantec
Yanluowang es una de las numerosas variantes nuevas de ransomware que han surgido este año en medio de continuas eliminaciones policiales de los principales grupos de hackers, como los que están detrás de las variantes REvil y Cl0p. Esta misma semana, los investigadores de Red Canary informaron haber observado a un grupo que explota el conjunto de vulnerabilidades de ProxyShell en Microsoft Exchange para implementar una nueva variante de ransomware llamada BlackByte, sobre la que otros, como SpiderLabs de TrustWave, también han advertido recientemente.
Doble extorsión
Muchas de las nuevas cepas de ransomware se han utilizado en los llamados ataques de doble extorsión, en los que ciberdelincuentes cifran y roban datos empresariales confidenciales, y posteriormente amenazan con filtrar los datos para intentar extorsionar a las víctimas.
Según el Grupo NCC, solo en Octubre, unas 314 organizaciones en todo el mundo se convirtieron en víctimas de ataques de doble extorsión, un aumento del 65% con respecto al mes anterior. Alrededor del 35% de las víctimas de estos ataques eran organizaciones del sector industrial. Entre los delincuentes se encontraban grupos que usaban ransomware como Lockbit, Conti, Hive y Blackmatter.
La investigación de Symantec sobre la actividad de Yanluowang, desveló que los hackers están utilizando una variedad de herramientas legítimas y de código abierto en su campaña para distribuir el ransomware. Esto incluye el uso de PowerShell para descargar una puerta trasera llamada BazarLoader para ayudar con el reconocimiento inicial y una utilidad de acceso remoto llamada ConnectWise.
Para identificar objetivos de alto valor, como el servidor de Active Directory de una empresa, han utilizado herramientas como SoftPerfect Network Scanner y Adfind, una herramienta gratuita para consultar AD.
Los atacantes usan con frecuencia utilidades legítimas para encontrar servidores críticos dentro de las empresas. Estas utilidades se pueden utilizar para extraer información relacionada con las máquinas en la red, información de la cuenta de usuario y más.
Alan Neville, analista de Symantec.
Otras herramientas que los ciberdelincuentes están utilizando en los ataques de Yanluowang incluyen algunas para el robo de credenciales, como GrabFF para descargar contraseñas de Firefox, una herramienta similar para Chrome llamada GrabChrome, y una para Internet Explorer y otros navegadores llamada BrowserPassView. Los investigadores de Symantec también descubrieron que el atacante usaba un script de PowerShell llamado KeeThief para copiar la clave maestra del gestor de contraseñas de código abierto KeePass y otras utilidades para recopilar datos y capturas de pantalla de sistemas comprometidos.
El uso abundante por parte del atacante de herramientas gratuitas y de código abierto, algunas de las cuales tienen propósitos legítimos, es consistente con lo que están haciendo otros operadores de ransomware.
Generalmente, la mayoría de estos grupos siguen patrones similares en términos de métodos de intrusión, descubrimiento de sistemas, técnicas de movimiento lateral y despliegue. La composición del conjunto de herramientas diferirá entre los grupos, pero las tácticas suelen ser bastante similares.
Alan Neville
Evolución de los ataques de Ransomware
El implacable ataque de ransomware muestra pequeños signos de desaceleración. Las medidas enérgicas de las fuerzas del orden y las mejores defensas empresariales han obligado a muchos grupos de ransomware a evolucionar y adaptar sus estrategias, pero los ataques en sí no se han ralentizado drásticamente.
Matt Hull, líder global de inteligencia de amenazas estratégicas en el Grupo NCC, dice que el panorama de amenazas de ransomware ha sido muy dinámico durante los últimos 12 meses, en parte debido a la actividad policial y en parte debido a ataques como los de Colonial Pipeline, que obtuvieron mucha atención por parte de las agencias gubernamentales.
También hemos visto a nuevos jugadores venir a la mesa. Pero con incidentes que incluyen el ataque Colonial Pipeline y el incidente de Kaseya, el problema del ransomware se ha puesto al frente de las fuerzas del orden y los gobiernos internacionales, lo que ha obligado a algunos operadores de ransomware a colgar las botas.
Matt Hull
El modelo de negocio general utilizado por los grupos también ha cambiado. La mayoría de los grupos ahora emplean el modelo de negocio de piratear y filtrar, a veces denominado doble extorsión, siguiendo los pasos de Maze Group, que ya lo estaba haciendo en 2019.
Un factor a tener en cuenta también es que muchas organizaciones están siendo conscientes de los peligros que suponen los ataques con ransomware y se están informando y preparando mejor. Los ataques de ransomware no se detendrán, pero una mejor preparación puede hacer que baje su efectividad y los autores de malware pierdan interés por su escasa recompensa.
Estar informados de los ataques y vulnerabilidades es el primer paso para mantener tu infraestructura segura.
