Los investigadores de ciberseguridad han detallado las actividades de un corredor de acceso inicial (IAB) doblado Fabricante de timas Eso se ha observado entregando acceso a pandillas de ransomware de doble extorsión como el cactus.
El IAB se ha evaluado con confianza media para ser un actor de amenaza de motivación financiera, escanear para sistemas vulnerables y implementar un malware personalizado llamado Lagtoy (también conocido como Holerun).
«Lagtoy se puede usar para crear conchas inversas y ejecutar comandos en puntos finales infectados», dijeron los investigadores de Cisco Talos Joey Chen, Asheer Malhotra, Ashley Shen, Vitor Ventura y Brandon White.
El malware fue documentado por primera vez por Mandiant, propiedad de Google, a fines de marzo de 2023, atribuyendo su uso a un actor de amenaza que rastrea como UNC961. El grupo de actividad también es conocido por otros nombres como la melodía de oro y el profeta araña.
Se ha observado que el actor de amenaza aprovecha un enorme arsenal de fallas de seguridad conocidas en aplicaciones orientadas a Internet para obtener acceso inicial, seguido de realizar un reconocimiento, la cosecha de credenciales y el despliegue de Lagtoy en un lapso de una semana.
Los atacantes también abren conexiones SSH a un host remoto para descargar una herramienta forense llamada Magnet Ram Capture para obtener un volcado de memoria de la máquina en un probable intento de reunir las credenciales de la víctima.
LagToy está diseñado para contactar a un servidor de comando y control (C2) codificado para recuperar comandos para la ejecución posterior en el punto final. Se puede utilizar para crear procesos y ejecutar comandos en usuarios especificados con privilegios correspondientes, por mandante.
El malware también está equipado para procesar tres comandos desde el servidor C2 con un intervalo de sueño de 11000 milisegundos entre ellos.
«Después de una pausa en la actividad de aproximadamente tres semanas, observamos que el grupo de ransomware de cactus llega a la empresa víctima utilizando credenciales robadas por Tymaker», dijo Talos.
«Basado en el tiempo de permanencia relativamente corto, la falta de robo de datos y la posterior entrega a Cactus, es poco probable que el fabricante de timbentos haya tenido ambiciones u objetivos motivados por espionaje».
En el incidente analizado por Talos, se dice que los afiliados de ransomware de cactus han realizado actividades de reconocimiento y persistencia antes de la exfiltración y el cifrado de datos. También se observan múltiples métodos para configurar el acceso a largo plazo utilizando OpenSSH, Anydesk y Ehorus Agent.
«TymaSker es un corredor de acceso inicial (IAB) motivado financieramente que adquiere acceso a organizaciones de alto valor y luego transfiere que el acceso a actores de amenaza secundaria que generalmente monetizan el acceso a través de una doble extorsión y despliegue de ransomware», dijo la compañía.