La cepa de ransomware conocida como BlackSuit ha exigido hasta la fecha hasta 500 millones de dólares en rescates, y una demanda de rescate individual alcanzó los 60 millones de dólares.
Así lo indica un aviso actualizado de la Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos (CISA) y la Oficina Federal de Investigaciones (FBI).
«Los actores de BlackSuit han mostrado su disposición a negociar los montos de pago», dijeron las agencias . «Los montos de rescate no forman parte de la nota de rescate inicial, sino que requieren una interacción directa con el actor de la amenaza a través de una URL .onion (accesible a través del navegador Tor) proporcionada después del cifrado».
Los ataques que involucran ransomware se han dirigido a varios sectores de infraestructura crítica que abarcan instalaciones comerciales, atención médica y salud pública, instalaciones gubernamentales y fabricación crítica.
Es una evolución del ransomware Royal y aprovecha el acceso inicial obtenido a través de correos electrónicos de phishing para desarmar el software antivirus y extraer datos confidenciales antes de implementar finalmente el ransomware y cifrar los sistemas.
Otras vías de infección comunes incluyen el uso del Protocolo de Escritorio Remoto (RDP), la explotación de aplicaciones vulnerables que miran a Internet y el acceso adquirido a través de intermediarios de acceso inicial (IAB).
Se sabe que los actores de BlackSuit utilizan software y herramientas de administración y monitoreo remoto (RMM) legítimos como el malware SystemBC y GootLoader para mantener la persistencia en las redes de las víctimas.
«Se ha observado que los actores de BlackSuit utilizan SharpShares y SoftPerfect NetWorx para enumerar las redes de las víctimas», señalaron las agencias. «También se han encontrado en los sistemas de las víctimas la herramienta de robo de credenciales Mimikatz, disponible públicamente, y las herramientas de recolección de contraseñas de Nirsoft. A menudo se utilizan herramientas como PowerTool y GMER para eliminar procesos del sistema».
La CISA y el FBI han advertido sobre un aumento en los casos en que las víctimas reciben comunicaciones telefónicas o por correo electrónico de los actores de BlackSuit con respecto a la vulneración y el rescate, una táctica que las bandas de ransomware están adoptando cada vez más para aumentar la presión.
«En los últimos años, los actores de amenazas parecen estar cada vez más interesados no solo en amenazar directamente a las organizaciones, sino también a las víctimas secundarias», afirmó la firma de ciberseguridad Sophos en un informe publicado esta semana. «Por ejemplo, como se informó en enero de 2024, los atacantes amenazaron con ‘atacar’ a los pacientes de un hospital oncológico y enviaron mensajes de texto amenazantes a la esposa de un director ejecutivo».
Pero eso no es todo. Los actores de amenazas también afirman que evalúan los datos robados en busca de pruebas de actividades ilegales, incumplimiento de las normas y discrepancias financieras, llegando incluso al extremo de afirmar que un empleado de una organización comprometida había estado buscando material de abuso sexual infantil publicando el historial de su navegador web.
Estos métodos agresivos no sólo pueden utilizarse como palanca adicional para obligar a sus víctimas a pagar, sino que también infligen daño a la reputación al criticarlos por ser poco éticos o negligentes.
El desarrollo se produce en medio del surgimiento de nuevas familias de ransomware como Lynx , OceanSpy , Radar , Zilla (una variante de ransomware Crysis/Dharma) y Zola (una variante de ransomware Proton) en circulación, incluso cuando los grupos de ransomware existentes están constantemente evolucionando su modus operandi al incorporar nuevas herramientas a su arsenal.
Un ejemplo de caso es Hunters International , que ha sido observado utilizando un nuevo malware basado en C# llamado SharpRhino como vector de infección inicial y un troyano de acceso remoto (RAT). Se trata de una variante de la familia de malware ThunderShell que se distribuye a través de un dominio de typosquatting que se hace pasar por la popular herramienta de administración de red Angry IP Scanner.
Vale la pena señalar que, según eSentire, se detectaron campañas de publicidad maliciosa que difundían malware en enero de 2024. El RAT de código abierto también se llama Parcel RAT y SMOKEDHAM .
«Al ejecutarse, establece persistencia y proporciona al atacante acceso remoto al dispositivo, que luego se utiliza para avanzar en el ataque», dijo el investigador de Quorum Cyber, Michael Forret . «Usando técnicas nunca antes vistas, el malware puede obtener un alto nivel de permiso en el dispositivo para garantizar que el atacante pueda continuar su ataque con una interrupción mínima».
Se cree que Hunters International es una nueva marca del grupo de ransomware Hive, ahora desaparecido. Detectado por primera vez en octubre de 2023, se ha atribuido la responsabilidad de 134 ataques en los primeros siete meses de 2024.
Fuente y redacción: thehackernews.com