Los investigadores de ciberseguridad han descubierto una campaña de ingeniería social en curso que bombardea a las empresas con correos electrónicos no deseados con el objetivo de obtener acceso inicial a sus entornos para su posterior explotación.
«El incidente implica que un actor de amenazas satura el correo electrónico de un usuario con basura y lo llama para ofrecerle ayuda», dijeron los investigadores de Rapid7 Tyler McGraw, Thomas Elkins y Evan McCann .
«El actor de amenazas solicita a los usuarios afectados que descarguen software de administración y monitoreo remoto como AnyDesk o utilicen la función Quick Assist incorporada de Microsoft para establecer una conexión remota».
Se dice que la novedosa campaña está en marcha desde finales de abril de 2024, y los correos electrónicos consisten principalmente en mensajes de confirmación de suscripción al boletín de organizaciones legítimas y lo hicieron con el objetivo de abrumar las soluciones de protección del correo electrónico.
Luego, se contacta a los usuarios afectados mediante llamadas telefónicas haciéndose pasar por el equipo de TI de la empresa, engañándolos para que instalen un software de escritorio remoto con el pretexto de resolver los problemas de correo electrónico.
Posteriormente, el acceso remoto a su computadora se aprovecha para descargar cargas útiles adicionales para recopilar credenciales y mantener la persistencia en los hosts.
Esto se logra ejecutando varios scripts por lotes, uno de los cuales también establece contacto con un servidor de comando y control (C2) para descargar una copia legítima de OpenSSH para Windows y, en última instancia, iniciar un shell inverso en el servidor.
En un incidente observado por la empresa de ciberseguridad, los actores de amenazas detrás de la campaña intentaron sin éxito implementar balizas Cobalt Strike en otros activos dentro de la red comprometida.
Si bien no hay evidencia de que se esté ejecutando ransomware como parte de la campaña, Rapid7 dijo que la actividad se superpone con indicadores de ataque previamente identificados asociados con los operadores de ransomware Black Basta.
La cadena de ataque también se ha utilizado para ofrecer herramientas adicionales de supervisión y gestión remotas como ConnectWise ScreenConnect, así como un troyano de acceso remoto llamado NetSupport RAT, que los actores de FIN7 han utilizado recientemente como parte de una campaña de publicidad maliciosa.
Esto es particularmente digno de mención a la luz del hecho de que se sospecha que los actores de FIN7 tienen vínculos estrechos con Black Basta. Si bien FIN7 inicialmente utilizó malware de punto de venta (PoS) para realizar fraudes financieros, desde entonces ha pasado a operaciones de ransomware , ya sea en calidad de afiliado o realizando sus propias operaciones bajo los nombres DarkSide y BlackMatter.
«Después de obtener acceso con éxito al activo comprometido, Rapid7 observó que el actor de amenazas intentaba implementar balizas Cobalt Strike, disfrazadas de una biblioteca de vínculos dinámicos (DLL) legítima llamada 7z.DLL, en otros activos dentro de la misma red que el activo comprometido utilizando el Conjunto de herramientas Impacket», dijo Rapid7.
Phorpiex distribuye LockBit Black
El desarrollo se produce cuando Proofpoint reveló detalles de una nueva campaña de ransomware LockBit Black (también conocido como LockBit 3.0) que aprovecha la botnet Phorpiex (también conocido como Trik) como un conducto para entregar mensajes de correo electrónico que contienen la carga útil del ransomware.
Se estima que se enviaron millones de mensajes durante la campaña de gran volumen que comenzó el 24 de abril de 2024. Actualmente no está claro quién está detrás del ataque.
«La muestra de LockBit Black de esta campaña probablemente se creó a partir del constructor LockBit que se filtró durante el verano de 2023», dijeron los investigadores de Proofpoint .
«El creador LockBit Black ha proporcionado a los actores de amenazas acceso a ransomware patentado y sofisticado. La combinación de esto con la botnet Phorpiex de larga data amplifica la escala de tales campañas de amenazas y aumenta las posibilidades de ataques de ransomware exitosos».
Información sobre el grupo Mallox Ransomware
También se han observado ataques de ransomware que obligan a los servidores Microsoft SQL a implementar el malware de cifrado de archivos Mallox a través de un cargador basado en .NET llamado PureCrypter , según Sekoia.
Se sabe que Mallox, un grupo cerrado de ransomware que opera desde la región europea, se distribuye desde al menos junio de 2021. Ganó prominencia a mediados de 2022 tras su transición a un modelo de ransomware como servicio (RaaS) y una estrategia de doble extorsión. .
Se ha observado que dos personas en línea diferentes asociadas con el grupo, Mallx y RansomR, reclutan activamente afiliados para la operación en varios foros clandestinos.
Un análisis más detallado del servidor de exfiltración de datos del actor de amenazas y su infraestructura de la web oscura ha revelado los nombres de diferentes miembros del «personal», incluidos Admin, Support, Maestro, Team, Neuroframe, Panda, Grindr, Hiervos y Vampire.
«Es casi seguro que Mallox es un conjunto de intrusiones oportunistas que afecta a organizaciones en varios sectores verticales, en particular los de fabricación, venta minorista y tecnología», dijo la compañía .
«Aunque los representantes de Mallox buscan activamente objetivos de altos ingresos (como se indica en publicaciones de reclutamiento en foros de cibercrimen), la mayoría de las víctimas del ransomware conocidas en código abierto son pequeñas y medianas empresas».
Fuente y redacción: thehackernews.com
