Un miembro afiliado de ALPHV/BlackCat Secuestro de datos El cártel ha recurrido a técnicas de publicidad maliciosa muy apreciadas por los estafadores para comprometer a sus víctimas, enmascarando sus cargas útiles como descargas legítimas de software, incluidos Advanced IP Scanner, Cisco AnyCOnnect, Slack y WinSCP, y comprando anuncios de Google para atraer a las víctimas.
La operación de ransomware como servicio ALPHV/BlackCat se ha relacionado con atracos cibernéticos recientes, incluidos ataques a two Las Vegas casinos, una firma de cosmética internacionaly un destacado NHS Trust.
Históricamente, los miembros del grupo utilizan métodos bastante estándar para lograr el acceso inicial a sus redes, ya sea mediante el robo de credenciales válidas, la explotación de servicios de supervisión y gestión remota y ataques basados en navegador.
El último giro en la historia de BlackCat se produce después de que investigadores de la Unidad de Respuesta a Amenazas (TRU) de eSentire respondieran a una serie de intrusiones dentro de su red de clientes en las que usuarios comerciales desprevenidos fueron atraídos a sitios web controlados por atacantes a través de anuncios falsos de Google comprados por el afiliado.
Una vez atraídas, explicó Keegan Keplinger, investigador senior de amenazas de TRU, las víctimas, sin saberlo, descargaron no el producto que pensaban que estaban obteniendo, sino el malware Nitrogen.
“Nitrogen es un malware de acceso inicial que aprovecha las bibliotecas de Python para ocultarse”, explicó Keplinger en un blog de divulgación recientemente publicado. “Este punto de apoyo proporciona a los intrusos una entrada inicial al entorno de TI de la organización objetivo. Una vez que los piratas informáticos tienen ese punto de apoyo inicial, pueden infectar al objetivo con el malware de su elección”.
El nitrógeno recibe su nombre de un artefacto encontrado en la convención de nomenclatura utilizada por el operador del ransomware. Es único entre los malwares de acceso inicial porque utiliza bibliotecas Python altamente ofuscadas para eludir los controles de seguridad de la víctima.
Esto es posible, dijo Keplinger, porque las bibliotecas de Python son herramientas legítimas (a menudo conocidas como binarios que viven de la tierra o LoLBins) y normalmente no levantan sospechas. Esto también hace que sea más difícil para los investigadores descubrir qué sucedió después de que se produce un incidente.
En los incidentes a los que respondieron los equipos de TRU, la actividad se detuvo antes de que se pudiera implementar un ataque de ransomware real.
Sin embargo, advirtió Keplinger, debido a que gran parte de la capacitación en materia de seguridad todavía se centra en archivos adjuntos de correo electrónico maliciosos, las descargas de malware basadas en navegadores están ganando terreno como vector de acceso, y esto podría ser particularmente perjudicial para las organizaciones donde los usuarios finales pueden descargar libremente su propio software.
“Las organizaciones deben empezar a incluir ataques basados en navegadores, incluidos aquellos que utilizan publicidad falsa, como parte de la formación de concienciación de los usuarios. Los ataques basados en navegador conducen cada vez más a intrusiones prácticas de ransomware y a ladrones de información que permiten intrusiones de ransomware más adelante”, escribió Kepliner.
“Asegúrese de implementar reglas de reducción de la superficie de ataque en archivos de script como .js y .vbs, pero tenga en cuenta que cuando estos ataques llegan en archivos .ISO, la ‘Marca de la Web’ se pierde, por lo que ganan las reglas de reducción de la superficie de ataque. No detecta los archivos de Internet”.
“Emplee el monitoreo de endpoints para asegurarse de poder detectar ejecuciones maliciosas cuando los ataques de ingeniería social eludan el escrutinio del usuario, y asegúrese de que la cobertura de endpoints sea completamente completa. TRU ha observado una tendencia de los ataques de ransomware a llegar más abajo en la cadena de eliminación cuando comienzan en puntos finales que están fuera del alcance del monitoreo de puntos finales.
“[Also] emplear el registro para asegurarse de capturar la telemetría – especialmente para dispositivos y servicios que no admiten un agente de punto final, incluida VPN, inscripción de dispositivos y software de servidor para aplicaciones que no generan telemetría de punto final, como Citrix, IIS y servicios en la nube”, agregó.
2023-11-15 14:00:00
#detecta #una #filial #BlackCat #utiliza #publicidad #maliciosa #para #difundir #ransomware,
