Los investigadores de ciberseguridad han detallado las actividades de un corredor de ataque auténtico (IAB) doblado Fabricante de timas Eso se ha observado entregando ataque a pandillas de ransomware de doble perturbación como el cactus.
El IAB se ha evaluado con confianza media para ser un actor de amenaza de motivación financiera, escanear para sistemas vulnerables y implementar un malware personalizado llamado Lagtoy (todavía conocido como Holerun).
“Lagtoy se puede usar para crear conchas inversas y ejecutar comandos en puntos finales infectados”, dijeron los investigadores de Cisco Talos Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura y Brandon White.
El malware fue documentado por primera vez por Mandiant, propiedad de Google, a fines de marzo de 2023, atribuyendo su uso a un actor de amenaza que rastrea como UNC961. El montón de actividad todavía es conocido por otros nombres como la proporción de oro y el profeta araña.
Se ha observado que el actor de amenaza aprovecha un enorme atarazana de fallas de seguridad conocidas en aplicaciones orientadas a Internet para obtener ataque auténtico, seguido de realizar un gratitud, la cosecha de credenciales y el despliegue de Lagtoy en un transcurso de una semana.
Los atacantes todavía abren conexiones SSH a un host remoto para descargar una útil forense llamamiento Magnet Ram Capture para obtener un volcado de memoria de la máquina en un probable intento de reunir las credenciales de la víctima.
LagToy está diseñado para contactar a un servidor de comando y control (C2) codificado para recuperar comandos para la ejecución posterior en el punto final. Se puede utilizar para crear procesos y ejecutar comandos en usuarios especificados con privilegios correspondientes, por mandante.
El malware todavía está equipado para procesar tres comandos desde el servidor C2 con un intervalo de sueño de 11000 milisegundos entre ellos.
“Luego de una pausa en la actividad de aproximadamente tres semanas, observamos que el montón de ransomware de cactus llega a la empresa víctima utilizando credenciales robadas por Tymaker”, dijo Talos.
“Basado en el tiempo de permanencia relativamente corto, la descuido de robo de datos y la posterior entrega a Cactus, es poco probable que el fabricante de timbentos haya tenido ambiciones u objetivos motivados por espionaje”.
En el incidente analizado por Talos, se dice que los afiliados de ransomware de cactus han realizado actividades de gratitud y persistencia antaño de la exfiltración y el oculto de datos. Asimismo se observan múltiples métodos para configurar el ataque a extenso plazo utilizando OpenSSH, Anydesk y Ehorus Agent.
“TymaSker es un corredor de ataque auténtico (IAB) motivado financieramente que adquiere ataque a organizaciones de detención valía y luego transfiere que el ataque a actores de amenaza secundaria que generalmente monetizan el ataque a través de una doble perturbación y despliegue de ransomware”, dijo la compañía.
