El actor de amenazas con motivación financiera conocido como UNC3944 está recurriendo a la implementación de ransomware como parte de una expansión de sus estrategias de monetización, reveló Mandiant.
«UNC3944 ha demostrado un mayor enfoque en el robo de grandes cantidades de datos confidenciales con fines de extorsión y parece comprender las prácticas comerciales occidentales, posiblemente debido a la composición geográfica del grupo», dijo la firma de inteligencia de amenazas .
«UNC3944 también se ha basado constantemente en herramientas disponibles públicamente y software legítimo en combinación con malware disponible para su compra en foros clandestinos».
El grupo, también conocido con los nombres 0ktapus, Scatter Swine y Scattered Spider, ha estado activo desde principios de 2022, adoptando ingeniería social basada en teléfonos y phishing basado en SMS para obtener credenciales válidas de los empleados utilizando páginas de inicio de sesión falsas e infiltrarse en la víctima. organizaciones, reflejando las tácticas adoptadas por otro grupo llamado LAPSUS$.
Si bien el grupo originalmente se centró en empresas de telecomunicaciones y subcontratación de procesos comerciales (BPO), desde entonces ha ampliado su objetivo para incluir hotelería, comercio minorista, medios y entretenimiento, y servicios financieros, lo que ilustra la creciente amenaza.
Una característica clave de los actores de amenazas es que se sabe que aprovechan las credenciales de una víctima para hacerse pasar por el empleado en las llamadas al servicio de atención al cliente de la organización en un intento de obtener códigos de autenticación multifactor (MFA) y/o restablecimientos de contraseña.
Vale la pena señalar que Okta, a principios de este mes, advirtió a los clientes sobre los mismos ataques, y la banda de delitos electrónicos llamó a los servicios de asistencia de TI de las víctimas para engañar al personal de soporte y restablecer los códigos MFA para los empleados con altos privilegios, permitiéndoles obtener acceso. a esas valiosas cuentas.
En un caso, se dice que un empleado instaló el malware RECORDSTEALER mediante una descarga de software falsa, lo que posteriormente facilitó el robo de credenciales. Las páginas de inicio de sesión fraudulentas, diseñadas con kits de phishing como EIGHTBAIT y otros, son capaces de enviar las credenciales capturadas a un canal de Telegram controlado por un actor e implementar AnyDesk.
También se ha observado que el adversario utiliza una variedad de ladrones de información (por ejemplo, Atomic , ULTRAKNOT o Meduza y Vidar ) y herramientas de robo de credenciales (por ejemplo, MicroBurst ) para obtener el acceso privilegiado necesario para cumplir sus objetivos y aumentar sus operaciones.
Parte de la actividad de UNC3944 incluye el uso de servicios de proxy residenciales comerciales para acceder a sus víctimas para evadir la detección y software de acceso remoto legítimo, así como realizar un reconocimiento exhaustivo de directorios y redes para ayudar a escalar privilegios y mantener la persistencia.
También es digno de mención su abuso de los recursos en la nube de la organización víctima para alojar utilidades maliciosas para desactivar el firewall y el software de seguridad y entregarlos a otros puntos finales, lo que subraya la evolución del oficio del grupo de piratas informáticos.
Los últimos hallazgos se producen cuando el grupo surgió como afiliado del equipo de ransomware BlackCat (también conocido como ALPHV o Noberus), aprovechando su nuevo estado para violar MGM Resorts y distribuir el malware de cifrado de archivos.
«Los actores de amenazas operan con un ritmo operativo extremadamente alto, accediendo a sistemas críticos y extrayendo grandes volúmenes de datos en el transcurso de unos pocos días», señaló Mandiant.
«Al implementar ransomware, los actores de amenazas parecen apuntar específicamente a máquinas virtuales y otros sistemas críticos para el negocio, probablemente en un intento de maximizar el impacto para la víctima».
Fuente y redacción: thehackernews.com
