Los actores de amenazas detrás de un ataque de ransomware Qilin observado recientemente han robado credenciales almacenadas en los navegadores Google Chrome en un pequeño conjunto de puntos finales comprometidos.
El uso de recolección de credenciales en conexión con una infección de ransomware marca un giro inusual y que podría tener consecuencias en cadena, dijo la firma de ciberseguridad Sophos en un informe del jueves.
El ataque, detectado en julio de 2024, implicó la infiltración en la red objetivo a través de credenciales comprometidas para un portal VPN que carecía de autenticación multifactor (MFA), y los actores de la amenaza realizaron acciones posteriores a la explotación 18 días después de que tuvo lugar el acceso inicial.
«Una vez que el atacante llegó al controlador de dominio en cuestión, editó la política de dominio predeterminada para introducir un objeto de política de grupo (GPO) basado en inicio de sesión que contenía dos elementos», dijeron los investigadores Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia y Robert Weiland .
El primero de ellos es un script de PowerShell llamado «IPScanner.ps1» que está diseñado para recopilar datos de credenciales almacenados en el navegador Chrome. El segundo elemento es un script por lotes («logon.bat») que se comunica con los comandos para ejecutar el primer script.
«El atacante dejó este GPO activo en la red durante más de tres días», agregaron los investigadores.
«Esto proporcionó una amplia oportunidad para que los usuarios iniciaran sesión en sus dispositivos y, sin saberlo, activaran el script de recolección de credenciales en sus sistemas. Nuevamente, dado que todo esto se hizo mediante un GPO de inicio de sesión, cada usuario experimentaría esta suplantación de credenciales cada vez que iniciara sesión».
Luego, los atacantes extrajeron las credenciales robadas y tomaron medidas para borrar la evidencia de la actividad antes de cifrar los archivos y colocar la nota de rescate en cada directorio del sistema.
El robo de credenciales almacenadas en el navegador Chrome significa que los usuarios afectados ahora deben cambiar sus combinaciones de nombre de usuario y contraseña para cada sitio de terceros.
«Como era de esperar, los grupos de ransomware continúan cambiando de táctica y ampliando su repertorio de técnicas», dijeron los investigadores.
«Si ellos u otros atacantes han decidido también extraer credenciales almacenadas en los puntos finales (que podrían abrir la puerta a un objetivo posterior o grandes cantidades de información sobre objetivos de alto valor que se pueden explotar por otros medios), es posible que se haya abierto un nuevo y oscuro capítulo en la historia actual del cibercrimen».
Tendencias en constante evolución en el ransomware
El desarrollo surge luego de que se ha observado que grupos de ransomware como Mad Liberator y Mimic utilizan solicitudes de AnyDesk no solicitadas para la exfiltración de datos y aprovechan servidores Microsoft SQL expuestos a Internet para el acceso inicial, respectivamente.
Los ataques de Mad Liberator se caracterizan además por el abuso por parte de los actores de amenazas del acceso para transferir y ejecutar un binario llamado «Microsoft Windows Update» que muestra una pantalla de presentación falsa de Windows Update a la víctima para dar la impresión de que se están instalando actualizaciones de software en la máquina mientras se saquean los datos.
El abuso de herramientas legítimas de escritorio remoto , a diferencia del malware personalizado, ofrece a los atacantes el disfraz perfecto para camuflar sus actividades maliciosas a simple vista, lo que les permite mezclarse con el tráfico normal de la red y evadir la detección.
El ransomware sigue siendo una actividad rentable para los cibercriminales a pesar de una serie de acciones de las fuerzas del orden, y se prevé que 2024 sea el año de mayores ingresos hasta la fecha. El año también vio el pago por ransomware más grande jamás registrado, aproximadamente 75 millones de dólares al grupo de ransomware Dark Angels .
«El pago de rescate medio por las cepas de ransomware más graves se ha disparado desde poco menos de 200.000 dólares a principios de 2023 a 1,5 millones de dólares a mediados de junio de 2024, lo que sugiere que estas cepas están dando prioridad a las empresas más grandes y a los proveedores de infraestructura crítica que pueden tener más probabilidades de pagar rescates elevados debido a sus bolsillos profundos y su importancia sistémica», dijo la firma de análisis blockchain Chainalysis .
Se estima que las víctimas de ransomware pagaron 459,8 millones de dólares a los cibercriminales en el primer semestre del año, frente a los 449,1 millones de dólares del año anterior. Sin embargo, el total de eventos de pago de ransomware medidos en cadena ha disminuido un 27,29 % interanual, lo que indica una caída en las tasas de pago.
Es más, los grupos de amenazas de habla rusa representaron al menos el 69% de todas las ganancias de criptomonedas vinculadas al ransomware durante el año anterior, superando los 500 millones de dólares.
Según los datos compartidos por NCC Group, el número de ataques de ransomware observados en julio de 2024 aumentó mes a mes de 331 a 395, pero por debajo de los 502 registrados el año pasado. Las familias de ransomware más activas fueron RansomHub, LockBit y Akira. Los sectores que fueron atacados con mayor frecuencia incluyen el industrial, el de consumo cíclico y el hotelero y el de entretenimiento.
Las organizaciones industriales son un objetivo lucrativo para los grupos de ransomware debido a la naturaleza crítica de sus operaciones y el alto impacto de las interrupciones, lo que aumenta la probabilidad de que las víctimas puedan pagar el monto del rescate exigido por los atacantes.
«Los delincuentes se concentran donde pueden causar más dolor y perturbaciones, por lo que el público exigirá soluciones rápidas y, con suerte, pagos de rescate para restablecer los servicios más rápidamente», dijo Chester Wisniewski, director de tecnología de campo global en Sophos.
«Esto convierte a las empresas de servicios públicos en objetivos principales de los ataques de ransomware. Debido a las funciones esenciales que brindan, la sociedad moderna exige que se recuperen rápidamente y con una interrupción mínima».
Los ataques de ransomware dirigidos contra el sector casi se duplicaron en el segundo trimestre de 2024 en comparación con el primer trimestre, de 169 a 312 incidentes, según Dragos . La mayoría de los ataques se concentraron en América del Norte (187), seguida de Europa (82), Asia (29) y América del Sur (6).
«Los actores de ransomware están cronometrando estratégicamente sus ataques para que coincidan con los períodos pico de vacaciones en algunas regiones para maximizar las interrupciones y presionar a las organizaciones para que paguen», dijo NCC Group .
Malwarebytes, en su propio informe State of Ransomware 2024, destacó tres tendencias en las tácticas de ransomware durante el año pasado, incluido un aumento en los ataques durante los fines de semana y las primeras horas de la mañana entre la 1 a. m. y las 5 a. m., y una reducción en el tiempo desde el acceso inicial hasta el cifrado.
Otro cambio notable es el aumento de la explotación de los servicios de borde y la focalización en las pequeñas y medianas empresas, dijo WithSecure , y agregó que el desmantelamiento de LockBit y ALPHV (también conocido como BlackCat) ha provocado una erosión de la confianza dentro de la comunidad cibercriminal, lo que hace que los afiliados se alejen de las principales marcas.
De hecho, Coveware afirmó que más del 10% de los incidentes manejados por la empresa en el segundo trimestre de 2024 no tenían ninguna afiliación, lo que significa que fueron «atribuidos a atacantes que operaban deliberadamente de forma independiente de una marca específica y lo que normalmente llamamos ‘lobos solitarios'».
«Los continuos cierres de foros y mercados cibercriminales acortaron el ciclo de vida de los sitios delictivos, ya que los administradores de los sitios intentan evitar llamar la atención de las fuerzas del orden», dijo Europol en una evaluación publicada el mes pasado.
«Esta incertidumbre, combinada con un aumento de las estafas de salida , ha contribuido a la continua fragmentación de los mercados delictivos. Las recientes operaciones de LE y la filtración de códigos fuente de ransomware (por ejemplo, Conti, LockBit y HelloKitty) han provocado una fragmentación de los grupos de ransomware activos y las variantes disponibles».
Fuente y redacción: thehackernes.com