Un malware basado en Python permite al ransomware RansomHub explotar fallas de la red

Los investigadores de ciberseguridad han detallado un ataque que involucró a un actor de amenazas que utilizó una puerta trasera basada en Python para mantener un acceso persistente a los puntos finales comprometidos y luego aprovechó este acceso para implementar el ransomware RansomHub en toda la red objetivo.

Según GuidePoint Security , se dice que el acceso inicial fue facilitado por medio de un malware JavaScript descargado llamado SocGholish (también conocido como FakeUpdates), que se sabe que se distribuye a través de campañas automáticas que engañan a usuarios desprevenidos para que descarguen actualizaciones falsas del navegador web.

Estos ataques suelen implicar el uso de sitios web legítimos pero infectados a los que las víctimas son redirigidas desde los resultados de los motores de búsqueda mediante técnicas de optimización de motores de búsqueda (SEO) de black hat. Tras la ejecución, SocGholish establece contacto con un servidor controlado por el atacante para recuperar cargas útiles secundarias.

Tan recientemente como el año pasado, las campañas de SocGholish se dirigieron a sitios de WordPress que dependían de versiones obsoletas de complementos de SEO populares como Yoast ( CVE-2024-4984 , puntuación CVSS: 6,4) y Rank Math PRO ( CVE-2024-3665 , puntuación CVSS: 6,4) para el acceso inicial.

En el incidente investigado por GuidePoint Security, se descubrió que la puerta trasera Python se había instalado unos 20 minutos después de la infección inicial a través de SocGholish. El actor de amenazas luego procedió a distribuir la puerta trasera a otras máquinas ubicadas en la misma red durante el movimiento lateral a través de sesiones RDP.

«Funcionalmente, el script es un proxy inverso que se conecta a una dirección IP codificada. Una vez que el script ha pasado el protocolo de enlace de comando y control (C2) inicial, establece un túnel que se basa en gran medida en el protocolo SOCKS5», dijo el investigador de seguridad Andrew Nelson.

«Este túnel permite al actor de la amenaza moverse lateralmente en la red comprometida utilizando el sistema víctima como proxy».

El script de Python, cuya versión anterior fue documentada por ReliaQuest en febrero de 2024, ha sido detectado en circulación desde principios de diciembre de 2023, mientras experimenta «cambios a nivel de superficie» que apuntan a mejorar los métodos de ofuscación utilizados para evitar su detección.

GuidePoint también señaló que el script decodificado está pulido y bien escrito, lo que indica que el autor del malware es meticuloso en mantener un código Python altamente legible y comprobable o confía en herramientas de inteligencia artificial (IA) para ayudar con la tarea de codificación.

«Con la excepción de la ofuscación de variables locales, el código se divide en clases distintas con nombres de métodos y variables muy descriptivos», añadió Nelson. «Cada método también tiene un alto grado de gestión de errores y mensajes de depuración detallados».

La puerta trasera basada en Python está lejos de ser el único precursor detectado en ataques de ransomware. Como destacó Halcyon a principios de este mes, algunas de las otras herramientas implementadas antes de la implementación del ransomware incluyen las responsables de:

Desactivación de soluciones de detección y respuesta de puntos finales (EDR) mediante EDRSilencer y Backstab
Robo de credenciales mediante LaZagne
Cómo comprometer cuentas de correo electrónico mediante la fuerza bruta de credenciales con MailBruter
Mantener el acceso oculto y entregar cargas adicionales utilizando Sirefef y Mediyes

También se han observado campañas de ransomware dirigidas a los buckets de Amazon S3 aprovechando el cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C) de Amazon Web Services para cifrar los datos de las víctimas. La actividad se ha atribuido a un actor de amenazas denominado Codefinger.

Además de impedir la recuperación sin la clave generada, los ataques emplean tácticas de rescate urgentes en las que los archivos se marcan para su eliminación dentro de siete días a través de la API de gestión del ciclo de vida de objetos S3 para presionar a las víctimas a que paguen.

«El actor de amenazas Codefinger abusa de las claves de AWS divulgadas públicamente con permisos para escribir y leer objetos S3», dijo Halcyon . «Al utilizar los servicios nativos de AWS, logran el cifrado de una manera que es segura e irrecuperable sin su cooperación».

El desarrollo se produce luego de que SlashNext dijo que ha sido testigo de un aumento en las campañas de phishing de «fuego rápido» que imitan la técnica de bombardeo de correo electrónico del grupo del ransomware Black Basta para inundar las bandejas de entrada de las víctimas con más de 1.100 mensajes legítimos relacionados con boletines informativos o avisos de pago.

«Luego, cuando las personas se sienten abrumadas, los atacantes aparecen mediante llamadas telefónicas o mensajes de Microsoft Teams, haciéndose pasar por soporte técnico de la empresa con una solución simple», dijo la compañía .

«Hablan con seguridad para ganarse la confianza de los usuarios y les piden que instalen software de acceso remoto como TeamViewer o AnyDesk. Una vez que el software está instalado en un dispositivo, los atacantes se infiltran sin hacer mucho ruido. Desde allí, pueden difundir programas dañinos o colarse en otras áreas de la red, abriendo un camino directo a los datos confidenciales».

Fuente y redacción: thehackernews.com

Sitios web parecidos a Telegram y WhatsApp que distribuyen malware

Investigadores descubren que el nuevo malware Drokbk utiliza GitHub como un solucionador de Dead Drop

¿Puede aguantar el malware aunque resetees por completo un dispositivo?