Se han observado que los actores de amenaza detrás del esquema Ransomhub Ransomware-as-a-Service (RAAS) aprovechan fallas de seguridad ahora parchadas en Microsoft Active Directory y el Protocolo de Netlogon para aumentar los privilegios y obtener acceso no autorizado al controlador de dominio de una red víctima como parte del de Su estrategia posterior a la compromiso.
«RansomHub ha dirigido a más de 600 organizaciones a nivel mundial, que abarcan sectores como la atención médica, las finanzas, el gobierno y la infraestructura crítica, estableciéndola firmemente como el grupo de ransomware más activo en 2024», dijeron los analistas del grupo de IB en un informe exhaustivo publicado esta semana.
El Grupo de Ransomware surgió por primera vez en febrero de 2024, adquiriendo el código fuente asociado con la ahora desaparecida pandilla Raas del Caballero (anteriormente Cyclops) del Foro de delitos Cibernéticos para acelerar sus operaciones. Aproximadamente cinco meses después, se anunció una versión actualizada del casillero en el mercado ilícito con capacidades para cifrar datos de forma remota a través del protocolo SFTP.
Viene en múltiples variantes que son capaces de encriptar archivos en Windows, VMware ESXI y servidores SFTP. También se ha observado que RansomHub recluta activamente afiliados de los grupos Lockbit y BlackCat como parte de un programa de asociación, lo que indica un intento de capitalizar las acciones de aplicación de la ley dirigida a sus rivales.
En el incidente analizado por la compañía de ciberseguridad de Singapur, se dice que el actor de amenaza ha intentado sin éxito explotar una falla crítica que afecta a los dispositivos PAN-OS de Palo Alto Networks (CVE-2024-3400) utilizando una prueba de concepción disponible públicamente (POC (POC POC-POC (POC POC POC (POC POC POC (POC POCO ), antes de violar la red de víctimas por medio de un ataque de fuerza bruta contra el servicio VPN.
«Este intento de fuerza bruta se basó en un diccionario enriquecido de más de 5,000 nombres de usuario y contraseñas», dijeron los investigadores. «El atacante finalmente obtuvo acceso a través de una cuenta predeterminada utilizada con frecuencia en las soluciones de respaldo de datos, y el perímetro finalmente se violó».
Luego se abusó del acceso inicial para llevar a cabo el ataque de ransomware, con cifrado de datos y exfiltración dentro de las 24 horas posteriores al compromiso.
En particular, implicó la arma de dos fallas de seguridad conocidas en Active Directory (CVE-2021-42278, también conocido como NOPAC) y el Protocolo de Netlogon (CVE-2020-1472, también conocido como Zerologon) para aprovechar el control del controlador de dominio y realizar un movimiento lateral en toda la red en la red en la red .
«La explotación de las vulnerabilidades mencionadas anteriormente permitió al atacante obtener acceso privilegiado total al controlador de dominio, que es el centro nervioso de una infraestructura basada en Microsoft Windows», dijeron los investigadores.
«Después de la finalización de las operaciones de exfiltración, el atacante preparó el entorno para la fase final del ataque. El atacante operó para hacer todos los datos de la compañía, guardados en los diversos NA, completamente ilegibles e inaccesibles, así como inexisibles para restaurar, con El objetivo de obligar a la víctima a pagar el rescate para recuperar sus datos «.
Otro aspecto notable del ataque es el uso de Pchunter para detener y evitar soluciones de seguridad de punto final, así como Filezilla para la exfiltración de datos.
«Los orígenes del grupo Ransomhub, sus operaciones ofensivas y sus características superpuestas con otros grupos confirman la existencia de un ecosistema de delito cibernético vívido», dijeron los investigadores.
«Este entorno prospera en el intercambio, la reutilización y el cambio de marca de las herramientas y los códigos de origen, alimentando un mercado subterráneo robusto donde las víctimas de alto perfil, los grupos infames y las sumas sustanciales de dinero juegan roles centrales».
El desarrollo se produce cuando la firma de ciberseguridad detalló el funcionamiento interno de un «operador RAAS formidable» conocido como Lynx, arrojando luz sobre su flujo de trabajo afiliado, su arsenal de ransomware multiplataforma para los entornos de Windows, Linux y ESXI, y modos de cifrado personalizables.
Un análisis de las versiones de Windows y Linux del ransomware muestra que se parece mucho al ransomware Inc, lo que indica que los actores de amenaza probablemente adquirieron el código fuente de este último.
«Los afiliados se incentivan con una participación del 80% de los ingresos de rescate, lo que refleja una estrategia competitiva impulsada por el reclutamiento», dijo. «Lynx recientemente agregó modos de cifrado múltiple: ‘rápido’, ‘medio’, ‘lento’ y ‘completo’, dando a los afiliados la libertad de ajustar la compensación entre la velocidad y la profundidad del cifrado de archivos».
«Las publicaciones de reclutamiento del grupo en foros subterráneos enfatizan un estricto proceso de verificación para pentesteros y equipos de intrusión calificados, destacando el énfasis de Lynx en la seguridad operativa y el control de calidad. También ofrecen ‘centros de llamadas’ para acosar víctimas y soluciones de almacenamiento avanzadas para afiliados que constantemente ofrecen una constancia rentable. resultados.»
En las últimas semanas, también se han observado ataques con motivación financiera utilizando el malware Phorpiex (también conocido como Trik) Botnet propagado a través de correos electrónicos de phishing para entregar el ransomware Lockbit.
«A diferencia de los incidentes anteriores de Ransomware Lockbit, los actores de amenaza confiaron en Phorpiex para entregar y ejecutar ransomware Lockbit», señaló Cybereason en un análisis. «Esta técnica es única ya que la implementación de ransomware generalmente consiste en operadores humanos que realizan el ataque».
Otro vector de infección inicial significativo se refiere a la explotación de los electrodomésticos VPN no parpados (por ejemplo, CVE-2021-20038) para obtener acceso a dispositivos y hosts de red internos y, en última instancia, implementar el ransomware de casilleros Abyss.
Los ataques también se caracterizan por el uso de herramientas de túneles para mantener la persistencia, así como el apalancamiento de traer sus propias técnicas de conductor vulnerable (BYOVD) para deshabilitar los controles de protección de puntos finales.
«Después de obtener acceso al entorno y realizar un reconocimiento, estas herramientas de túnel se implementan estratégicamente en dispositivos de red críticos, incluidos hosts ESXi, hosts de Windows, electrodomésticos VPN y dispositivos de almacenamiento adjunto (NAS) de la red», dijeron los investigadores de Sygnia.
«Al atacar estos dispositivos, los atacantes aseguran canales de comunicación robustos y confiables para mantener el acceso y orquestar sus actividades maliciosas en la red comprometida».
El panorama de ransomware, dirigido por actores de amenaza nuevos y antiguos, continúa permaneciendo en un estado de flujo, con ataques que giran desde el cifrado tradicional hasta el robo y la extorsión de datos, incluso cuando las víctimas se niegan cada vez más a pagar, lo que lleva a una disminución en los pagos en 2024 .
«Grupos como Ransomhub y Akira ahora incentivan los datos robados con grandes recompensas, lo que hace que estas tácticas sean bastante lucrativas», dijo la firma de ciberseguridad Huntress.