La cepa de ransomware basada en Linux recientemente descubierta conocida como Cheerscrypt se ha atribuido a un grupo de ciberespionaje chino conocido por operar esquemas de ransomware de corta duración .
La firma de seguridad cibernética Sygnia atribuyó los ataques a un actor de amenazas que rastrea bajo el nombre de Emperor Dragonfly, que también se conoce como Bronze Starlight (Secureworks) y DEV-0401 (Microsoft).
«Emperor Dragonfly implementó herramientas de código abierto que fueron escritas por desarrolladores chinos para usuarios chinos», dijo la compañía en un informe compartido con The Hacker News. «Esto refuerza las afirmaciones de que los operadores de ransomware ‘Emperor Dragonfly’ tienen su sede en China».
El uso de Cheerscrypt es la última incorporación a una larga lista de familias de ransomware implementadas anteriormente por el grupo en poco más de un año, incluidas LockFile, Atom Silo, Rook, Night Sky, Pandora y LockBit 2.0.
Secureworks, en su perfil del grupo, señaló que «es plausible que Bronze Starlight implemente ransomware como una cortina de humo en lugar de obtener ganancias financieras, con la motivación subyacente de robar propiedad intelectual o realizar espionaje».
Cheerscrypt fue documentado por primera vez por Trend Micro en mayo de 2022, destacando sus capacidades para apuntar a los servidores VMware ESXi como parte de una táctica probada y comprobada llamada doble extorsión para obligar a sus víctimas a pagar el rescate o arriesgarse a enfrentar la exposición de datos.
También ha afirmado ser pro-ucraniano, mostrando un mensaje de » ¡Gloria a Ucrania! » en su sitio de fuga de datos de la web oscura.
Curiosamente, las acciones de ransomware se superponen con la versión de Linux del ransomware Babuk, cuyo código fuente se filtró en septiembre de 2021 y también forma la base de las familias Rook, Night Sky y Pandora de Emperor Dragonfly.
El modus operandi del actor de amenazas se destaca aún más por su manejo de todas las etapas del ciclo de vida del ataque de ransomware, desde el acceso inicial hasta la implementación del ransomware, sin depender de afiliados ni intermediarios de acceso. Microsoft describió a DEV-0401 como un actor de «lobo solitario».
Las cadenas de infección observadas hasta la fecha han hecho uso de la vulnerabilidad crítica Log4Shell en la biblioteca Apache Log4j para comprometer los servidores de VMware Horizon y dejar caer una carga útil de PowerShell capaz de entregar una baliza Cobalt Strike cifrada.
Sygnia dijo que también descubrió tres herramientas adicionales basadas en Go implementadas junto con la baliza: un registrador de teclas que exporta las pulsaciones de teclas registradas a Alibaba Cloud, una utilidad de proxy de Internet llamada iox y un software de tunelización conocido como NPS .
Los enlaces de Cheerscrypt a las similitudes de Emperor Dragonfly en los vectores de acceso inicial, las técnicas de movimiento lateral y el despliegue de la baliza codificada Cobalt Strike a través de la carga lateral de DLL .
«Emperor Dragonfly es un operador de ransomware con sede en China, lo que lo convierte en una rareza en el panorama de amenazas actual», dijeron los investigadores, y agregaron que «un solo actor de amenazas realizó toda la operación».
