Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
HogarLos ataques de Play Ransomware utilizan nuevas herramientas personalizadas
Los investigadores han descubierto dos nuevas herramientas personalizadas que se aprovechan en los ataques de ransomware Play, ya que diferentes actores de amenazas adoptan cada vez más herramientas patentadas para obtener una ventaja competitiva y adaptar mejor sus ataques a los entornos de las víctimas.
El equipo de cazadores de amenazas de Symantec encontró al grupo detrás del ransomware Play utilizando una herramienta de escaneo de red personalizada Grixba para enumerar todas las computadoras y usuarios en el dominio y un ejecutable .NET que permite a los atacantes copiar archivos del Volume Shadow Copy Service (VSS) que normalmente están bloqueados por el sistema operativo.
"El uso de herramientas propietarias... da a los operadores de ransomware más control sobre sus operaciones", dijeron los investigadores en un análisis del miércoles. "Si una herramienta está ampliamente disponible, otros atacantes pueden modificarla o adaptarla, lo que podría debilitar la eficacia del ataque inicial. Al mantener sus herramientas patentadas y exclusivas, las pandillas de ransomware pueden mantener su ventaja competitiva y maximizar sus ganancias".
El grupo Balloonfly que desarrolla el ransomware Play, que se lanzó en junio de 2022, ha llevado a cabo varios ataques de doble extorsión, incluido un ciberataque reciente en la ciudad de Oakland, California. El grupo se ha centrado anteriormente en las fallas de Microsoft Exchange, como la elevación de privilegios. error (CVE-2022-41080) y falla de ejecución remota de código (CVE-2022-41082).
El grupo no parece operar Play como un ransomware como servicio, y sus herramientas personalizadas descubiertas esta semana pueden darle una ventaja competitiva sobre otros grupos. Balloonfly desarrolló ambas herramientas utilizando una popular herramienta de desarrollo de .NET llamada Costura, que permite a los usuarios incorporar dependencias de aplicaciones en un único ejecutable.
"Al mantener sus herramientas patentadas y exclusivas, las pandillas de ransomware pueden mantener su ventaja competitiva y maximizar sus ganancias".
El ladrón de información .NET Grixba busca y enumera software, herramientas de administración remota, varios programas de seguridad y más, y compila esta información para exfiltración. La otra herramienta aprovecha la biblioteca AlphaVSS, un marco .NET para interactuar con VSS, para copiar archivos de instantáneas de VSS antes del cifrado.
Más grupos se están alejando de las herramientas disponibles públicamente o los scripts simples para usar herramientas totalmente personalizadas, incluida la herramienta de exfiltración de datos Exmatter utilizada en varios ataques de ransomware BlackMatter de 2021, la herramienta de exfiltración de datos personalizada Exbyte desarrollada el año pasado por BlackByte y una herramienta basada en PowerShell. herramienta utilizada por Vice Society.
Las herramientas de exfiltración personalizadas como estas mejoran la velocidad de los ataques, pero como lo demuestran las herramientas personalizadas del ransomware Play, también pueden aumentar la complejidad y las capacidades de los ataques, dijo Dick O'Brien, analista principal de inteligencia del grupo de cazadores de amenazas de Symantec.
"Es posible que los ataques se vuelvan cada vez más complejos de realizar, por lo que es necesario automatizar algunos pasos", dijo O'Brien. "Cosas como copiar archivos bloqueados son algo que no estamos seguros de si los atacantes se habrían molestado en hacer hace unos años".
Fuera de las herramientas de exfiltración, los actores de amenazas han estado desarrollando otros tipos de conjuntos de herramientas para expandir su cadena de ataque y agregar capas adicionales de complejidad a sus ataques. Desde 2022, por ejemplo, un subgrupo del conocido actor iraní APT35 ha estado utilizando dos implantes personalizados para persistir en entornos comprometidos, evadir la detección e implementar malware de segunda etapa.
"De alguna manera, puede ser una señal positiva porque sugiere que los atacantes están sintiendo el calor y que se están descubriendo demasiados ataques antes de que puedan completarse", dijo O'Brien. "También estamos viendo que los atacantes se esfuerzan más en intentar deshabilitar el software de seguridad, lo que también sugiere que están siendo bloqueados con más frecuencia".
Los operadores de malware Qakbot han cambiado de táctica nuevamente para adaptarse a los cambios en las defensas.
Una nueva RAT conocida como SeroXen está a la venta en foros y plataformas de redes sociales y tiene la capacidad de evadir EDR y ofrece un...
Una versión del ransomware BlackCat anunciada en febrero incluye nuevas habilidades que permiten a los atacantes evadir la detección y el análisis.