La operación ransomware conocida como red de fugas ha acogido la táctica de ingeniería social ClickFix entregada a través de sitios web comprometidos como método de paso original.
El uso de ClickFix, donde se engaña a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, es una desviación de los métodos tradicionales para obtener paso original, como a través de credenciales robadas adquiridas de corredores de paso original (IAB), dijo ReliaQuest en un referencia técnico publicado hoy.
El segundo aspecto importante de estos ataques es el uso de un cargador de comando y control (C2) por etapas integrado en el tiempo de ejecución de JavaScript de Deno para ejecutar cargas enseres maliciosas directamente en la memoria.
“La conclusión secreto aquí es que ambas rutas de entrada conducen siempre a la misma secuencia repetible posterior a la explotación”, dijo la empresa de ciberseguridad. “Eso les da a los defensores poco concreto con qué trabajar: comportamientos conocidos que pueden detectar e interrumpir en cada etapa, mucho antiguamente de la implementación del ransomware, independientemente de cómo entró LeakNet”.
LeakNet surgió por primera vez en noviembre de 2024, describiéndose a sí mismo como un “vigilante digital” y enmarcando sus actividades como centradas en la autonomía y la transparencia en Internet. Según datos captados por Dragos, el asociación todavía ha anotado a entidades industriales.
El uso de ClickFix para atacar a las víctimas ofrece varias ventajas, la más importante es que reduce la dependencia de terceros proveedores, reduce el costo de adquisición por víctima y elimina el cuello de botella eficaz de esperar a que cuentas valiosas lleguen al mercado.
En estos ataques, los sitios legítimos pero comprometidos se utilizan para realizar comprobaciones de comprobación CAPTCHA falsas que instruyen a los usuarios a copiar y pegar un comando “msiexec.exe” en el cuadro de diálogo Ejecutar de Windows. Los ataques no se limitan a una industria erguido específica, sino que extienden una amplia red para infectar a tantas víctimas como sea posible.
El explicación se produce a medida que más actores de amenazas están adoptando el manual ClickFix, ya que abusa de los flujos de trabajo cotidianos y confiables para atraer a los usuarios a ejecutar comandos maliciosos a través de herramientas legítimas de Windows de una forma que parezca rutinaria y segura.
“La apadrinamiento de ClickFix por parte de LeakNet marca tanto la primera expansión documentada de la capacidad de paso original del asociación como un cambio decisivo significativo”, dijo ReliaQuest.
“Al alejarse de los IAB, LeakNet elimina una dependencia que lógicamente limitaba la ligereza y amplitud con la que podía proceder. Y conveniente a que ClickFix se entrega a través de sitios web legítimos, pero comprometidos, no presenta las mismas señales obvias en la capa de red que la infraestructura propiedad del atacante”.
Encima del uso de ClickFix para iniciar la condena de ataque, se evalúa que LeakNet utiliza un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria para minimizar la evidencia en el disco y evitar la detección. La carga útil está diseñada para tomar huellas dactilares del sistema comprometido, contactar a un servidor foráneo para inquirir malware de la ulterior etapa y entrar en un ciclo de tienta que indagación y ejecuta repetidamente código adicional a través de Deno.
Por otra parte, ReliaQuest dijo que todavía observó un intento de intrusión en el que los actores de amenazas utilizaron phishing basado en Microsoft Teams para diseñar socialmente a un sucesor para que lanzara una condena de carga útil que terminaba en un cargador similar basado en Deno. Si correctamente la actividad permanece sin atribuir, el uso del enfoque Bring Your Own Runtime (BYOR) indica una ampliación de los vectores de paso iniciales de LeakNet o que otros actores de amenazas han acogido la técnica.
La actividad posterior al compromiso de LeakNet sigue una metodología consistente: comienza con el uso de carga limítrofe de DLL para editar una DLL maliciosa entregada a través del cargador, seguido del movimiento limítrofe usando PsExec, exfiltración de datos y enigmático.
“LeakNet ejecuta cmd.exe /c klist, un comando integrado de Windows que muestra las credenciales de autenticación activas en el sistema comprometido. Esto le dice al atacante qué cuentas y servicios ya son accesibles sin la pobreza de solicitar nuevas credenciales, para que puedan moverse más rápido y más deliberadamente”, dijo ReliaQuest.
“Para la puesta en estampa y la exfiltración, LeakNet utiliza depósitos S3, explotando la apariencia del tráfico natural en la cirro para achicar su huella de detección”.
El explicación se produce cuando Google reveló que Qilin (todavía conocido como Dietario), Akira (todavía conocido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (todavía conocido como FireFlame y FuryStorm) y Sinobi emergieron como las 10 principales marcas de ransomware con más víctimas reclamadas en sus sitios de fuga de datos.
“En un tercio de los incidentes, el vector de paso original fue la explotación confirmada o sospechada de vulnerabilidades, con maduro frecuencia en VPN y firewalls comunes”, dijo Google Threat Intelligence Group (GTIG), agregando que el 77% de las intrusiones de ransomware analizadas incluyeron sospecha de robo de datos, un aumento del 57% en 2024.
“A pesar de la agitación contemporáneo causada por los conflictos y la interrupción de los actores, los actores del ransomware siguen muy motivados y el ecosistema de perjuicio demuestra una resiliencia continua. Sin requisa, varios indicadores sugieren que la rentabilidad universal de estas operaciones está disminuyendo, y al menos algunos actores de amenazas están cambiando su cálculo de objetivos de las grandes empresas para centrarse en ataques de maduro comba contra organizaciones más pequeñas”.
