Se ha enfrentado que los actores de amenazas que desplegan las familias de ransomware de Pespunte Black Pespunte y Cactus confían en el mismo módulo de Encogimiento (BC) para permanecer un control persistente sobre los hosts infectados, un signo que los afiliados previamente asociados con Black Pespunte pueden tener transicionado a Cactus.
“Una vez infiltrado, otorga a los atacantes una amplia serie de capacidades de control remoto, lo que les permite ejecutar comandos en la máquina infectada”, dijo Trend Micro en un exploración del lunes. “Esto les permite robar datos confidenciales, como credenciales de inicio de sesión, información financiera y archivos personales”.
Vale la pena señalar que los detalles del módulo BC, que la compañía de seguridad cibernética está rastreando como QbackConnect conveniente a las superposiciones con el cargador Qakbot, fueron documentados por primera vez a fines de enero de 2025 por el equipo de inteligencia cibernética de Walmart y Sophos, el postrero de los cuales ha designado el clúster el nombre STAC5777.
Durante el año pasado, las cadenas de ataque de Black Pespunte han trabajador cada vez más tácticas de hostigación por correo electrónico para engañar a los posibles objetivos para instalar subsidio rápida luego de ser contactado por el actor de amenazas bajo el pretexto de soporte de TI o personal de subsidio.
Luego, el acercamiento sirve como un conducto para unir un cargador DLL receloso (“winhttp.dll”) llamado Reedbed usando OneDrivestandaloneUpdater.exe, un ejecutable genuino responsable de renovar Microsoft OneDrive. El cargador finalmente descifra y ejecuta el módulo BC.
Trend Micro dijo que observó un ataque de ransomware de cactus que empleó el mismo modus operandi para implementar la conexión de retroceso, pero incluso fue más allá para padecer a angla varias acciones posteriores a la explotación como el movimiento colateral y la exfiltración de datos. Sin retención, los esfuerzos para reducir la red de la víctima terminaron en el fracaso.
La convergencia de las tácticas asume un significado peculiar a la luz de las recientes filtraciones de registro de chat de Black Pespunte que dejó al descubierto el funcionamiento interno y la estructura organizativa de la pandilla del crimen electrónico.
Específicamente, ha surgido que los miembros de la tripulación motivada financieramente compartieron credenciales válidas, algunas de las cuales se han obtenido de registros de robadores de información. Algunos de los otros puntos de acercamiento iniciales prominentes son los portales de protocolo de escritorio remoto (RDP) y puntos finales VPN.
“Los actores de amenazas están utilizando estas tácticas, técnicas y procedimientos (TTP): subsidio rápida, subsidio rápida como utensilio remota y retroceso, para implementar el ransomware enojado Pespunte”, dijo Trend Micro.
“Específicamente, hay evidencia que sugiere que los miembros han hecho la transición del clan de ransomware enojado Pespunte al clan de ransomware Cactus. Esta conclusión se extrae del exploración de tácticas, técnicas y procedimientos (TTP) similares que se utiliza”.
