Microsoft ha advertido sobre una nueva ola de ataques de ransomware CACTUS que aprovechan señuelos de publicidad maliciosa para implementar DanaBot como vector de acceso inicial.
Las infecciones de DanaBot llevaron a «una actividad práctica en el teclado por parte del operador de ransomware Storm-0216 (Twisted Spider, UNC2198), que culminó con la implementación del ransomware CACTUS», dijo el equipo de Microsoft Threat Intelligence en una serie de publicaciones en X (anteriormente Twitter ).
DanaBot , rastreado por el gigante tecnológico como Storm-1044, es una herramienta multifuncional similar a Emotet, TrickBot, QakBot e IcedID que es capaz de actuar como un ladrón y un punto de entrada para cargas útiles de la siguiente etapa.
Por su parte, se ha observado anteriormente que UNC2198 infecta puntos finales con IcedID para implementar familias de ransomware como Maze y Egregor, como detalló Mandiant, propiedad de Google, en febrero de 2021.
Según Microsoft, el actor de amenazas también aprovechó el acceso inicial proporcionado por las infecciones QakBot. Por lo tanto, el cambio a DanaBot probablemente sea el resultado de una operación policial coordinada en agosto de 2023 que derribó la infraestructura de QakBot .
«La actual campaña de Danabot, observada por primera vez en noviembre, parece estar utilizando una versión privada del malware de robo de información en lugar de la oferta de malware como servicio», señaló además Redmond.
Las credenciales recopiladas por el malware se transmiten a un servidor controlado por el actor, al que sigue un movimiento lateral mediante intentos de inicio de sesión RDP y, en última instancia, se concede el acceso a Storm-0216.
La divulgación se produce días después de que Arctic Wolf revelara otro conjunto de ataques de ransomware CACTUS que explotan activamente vulnerabilidades críticas en una plataforma de análisis de datos llamada Qlik Sense para obtener acceso a redes corporativas.
También sigue al descubrimiento de una nueva cepa de ransomware para macOS denominada Turtle que está escrita en el lenguaje de programación Go y está firmada con una firma ad hoc, lo que impide que se ejecute en el momento del lanzamiento debido a las protecciones Gatekeeper.
Fuente y redacción: thehackernews.com
