Se han observado que los actores de amenaza detrás del esquema Ransomhub Ransomware-as-a-Service (RAAS) aprovechan fallas de seguridad ahora parchadas en Microsoft Active Directory y el Protocolo de Netlogon para aumentar los privilegios y obtener acercamiento no calificado al regulador de dominio de una red víctima como parte del de Su organización posterior a la compromiso.
“RansomHub ha dirigido a más de 600 organizaciones a nivel mundial, que abarcan sectores como la atención médica, las finanzas, el gobierno y la infraestructura crítica, estableciéndola firmemente como el congregación de ransomware más activo en 2024”, dijeron los analistas del congregación de IB en un mensaje íntegro publicado esta semana.
El Montón de Ransomware surgió por primera vez en febrero de 2024, adquiriendo el código fuente asociado con la ahora desaparecida pandilla Raas del Leal (anteriormente Cyclops) del Foro de delitos Cibernéticos para acelerar sus operaciones. Aproximadamente cinco meses a posteriori, se anunció una traducción actualizada del casillero en el mercado ilícito con capacidades para abreviar datos de forma remota a través del protocolo SFTP.
Viene en múltiples variantes que son capaces de encriptar archivos en Windows, VMware ESXI y servidores SFTP. Asimismo se ha observado que RansomHub quinto activamente afiliados de los grupos Lockbit y BlackCat como parte de un software de asociación, lo que indica un intento de capitalizar las acciones de aplicación de la ley dirigida a sus rivales.
En el incidente analizado por la compañía de ciberseguridad de Singapur, se dice que el actor de amenaza ha intentado sin éxito explotar una rotura crítica que afecta a los dispositivos PAN-OS de Palo Suspensión Networks (CVE-2024-3400) utilizando una prueba de concepción arreglado públicamente (POC (POC POC-POC (POC POC POC (POC POC POC (POC POCO ), antiguamente de violar la red de víctimas por medio de un ataque de fuerza bruta contra el servicio VPN.
“Este intento de fuerza bruta se basó en un diccionario enriquecido de más de 5,000 nombres de heredero y contraseñas”, dijeron los investigadores. “El atacante finalmente obtuvo acercamiento a través de una cuenta predeterminada utilizada con frecuencia en las soluciones de respaldo de datos, y el perímetro finalmente se violó”.
Luego se abusó del acercamiento original para sobrellevar a punta el ataque de ransomware, con secreto de datos y exfiltración adentro de las 24 horas posteriores al compromiso.
En particular, implicó la pertrechos de dos fallas de seguridad conocidas en Active Directory (CVE-2021-42278, todavía conocido como NOPAC) y el Protocolo de Netlogon (CVE-2020-1472, todavía conocido como Zerologon) para explotar el control del regulador de dominio y realizar un movimiento adyacente en toda la red en la red en la red .
“La explotación de las vulnerabilidades mencionadas anteriormente permitió al atacante obtener acercamiento privilegiado total al regulador de dominio, que es el centro nervioso de una infraestructura basada en Microsoft Windows”, dijeron los investigadores.
“A posteriori de la finalización de las operaciones de exfiltración, el atacante preparó el entorno para la período final del ataque. El atacante operó para hacer todos los datos de la compañía, guardados en los diversos NA, completamente ilegibles e inaccesibles, así como inexisibles para restaurar, con El objetivo de atañer a la víctima a retribuir el rescate para recuperar sus datos “.
Otro aspecto sobresaliente del ataque es el uso de Pchunter para detener y evitar soluciones de seguridad de punto final, así como Filezilla para la exfiltración de datos.
“Los orígenes del congregación Ransomhub, sus operaciones ofensivas y sus características superpuestas con otros grupos confirman la existencia de un ecosistema de delito cibernético dinámico”, dijeron los investigadores.
“Este entorno prospera en el intercambio, la reutilización y el cambio de marca de las herramientas y los códigos de origen, alimentando un mercado subterráneo robusto donde las víctimas de suspensión perfil, los grupos infames y las sumas sustanciales de efectivo juegan roles centrales”.
El crecimiento se produce cuando la firma de ciberseguridad detalló el funcionamiento interno de un “cirujano RAAS formidable” conocido como Lynx, arrojando luz sobre su flujo de trabajo afiliado, su astillero de ransomware multiplataforma para los entornos de Windows, Linux y ESXI, y modos de secreto personalizables.
Un prospección de las versiones de Windows y Linux del ransomware muestra que se parece mucho al ransomware Inc, lo que indica que los actores de amenaza probablemente adquirieron el código fuente de este extremo.
“Los afiliados se incentivan con una décimo del 80% de los ingresos de rescate, lo que refleja una organización competitiva impulsada por el sustitución”, dijo. “Lynx recientemente agregó modos de secreto múltiple: ‘rápido’, ‘medio’, ‘gradual’ y ‘completo’, dando a los afiliados la licencia de ajustar la compensación entre la velocidad y la profundidad del secreto de archivos”.
“Las publicaciones de sustitución del congregación en foros subterráneos enfatizan un cumplidor proceso de demostración para pentesteros y equipos de intrusión calificados, destacando el fuerza de Lynx en la seguridad operativa y el control de calidad. Asimismo ofrecen ‘centros de llamadas’ para molestar víctimas y soluciones de almacenamiento avanzadas para afiliados que constantemente ofrecen una constancia rentable. resultados.”
En las últimas semanas, todavía se han observado ataques con motivación financiera utilizando el malware Phorpiex (todavía conocido como Trik) Botnet propagado a través de correos electrónicos de phishing para entregar el ransomware Lockbit.
“A diferencia de los incidentes anteriores de Ransomware Lockbit, los actores de amenaza confiaron en Phorpiex para entregar y ejecutar ransomware Lockbit”, señaló Cybereason en un prospección. “Esta técnica es única ya que la implementación de ransomware generalmente consiste en operadores humanos que realizan el ataque”.
Otro vector de infección original significativo se refiere a la explotación de los electrodomésticos VPN no parpados (por ejemplo, CVE-2021-20038) para obtener acercamiento a dispositivos y hosts de red internos y, en última instancia, implementar el ransomware de casilleros Abyss.
Los ataques todavía se caracterizan por el uso de herramientas de túneles para amparar la persistencia, así como el apalancamiento de traer sus propias técnicas de conductor delicado (BYOVD) para deshabilitar los controles de protección de puntos finales.
“A posteriori de obtener acercamiento al entorno y realizar un agradecimiento, estas herramientas de túnel se implementan estratégicamente en dispositivos de red críticos, incluidos hosts ESXi, hosts de Windows, electrodomésticos VPN y dispositivos de almacenamiento adjunto (NAS) de la red”, dijeron los investigadores de Sygnia.
“Al atacar estos dispositivos, los atacantes aseguran canales de comunicación robustos y confiables para amparar el acercamiento y orquestar sus actividades maliciosas en la red comprometida”.
El panorama de ransomware, dirigido por actores de amenaza nuevos y antiguos, continúa permaneciendo en un estado de flujo, con ataques que giran desde el secreto tradicional hasta el robo y la trastorno de datos, incluso cuando las víctimas se niegan cada vez más a retribuir, lo que lleva a una disminución en los pagos en 2024 .
“Grupos como Ransomhub y Akira ahora incentivan los datos robados con grandes recompensas, lo que hace que estas tácticas sean asaz lucrativas”, dijo la firma de ciberseguridad Huntress.
