Yanluowang ransomware vinculado al actor de amenazas Thieflock - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Yanluowang ransomware vinculado al actor de amenazas Thieflock

Hola y mil gracias por leerme. Te escribe Eduardo Arroyo y en esta ocasión vamos a hablar sobre Yanluowang ransomware vinculado al actor de amenazas Thieflock

Yanluowang ransomware vinculado al actor de amenazas Thieflock

Los vínculos entre las tácticas y las herramientas demostradas en los ataques sugieren que un antiguo afiliado ha cambiado de lealtad, según una nueva investigación.

Un actor de amenazas anteriormente vinculado a la operación de ransomware Thieflock ahora podría usar el ransomware emergente Yanluowang en una serie de ataques a empresas estadounidenses, encontraron los investigadores.

Los investigadores de Symantec, una división de Broadcom Software, han encontrado vínculos entre Thieflock y Yanluowang, el último de los cuales ha revelado en octubre después de observar su uso contra una gran organización.

Los investigadores creen que un actor de amenazas ha utilizado Yanluowang desde agosto para apuntar principalmente a compañías financieras en los Estados Unidos, dijeron en un informe. relación publicado el martes. El actor también atacó a empresas de los sectores de fabricación, servicios de TI, consultoría e ingeniería con el nuevo ransomware, dijeron.

Los investigadores encontraron un «vínculo tentativo» entre los nuevos ataques de Yanluowang y los antiguos ataques relacionados con Thieflock, un ransomware-as-a-service (RaaS) desarrollado por el grupo Canthroid, también conocido como Fivehands.

Esto demuestra la «poca lealtad» que hay entre los actores de ransomware, en particular los que actúan como afiliados de las operaciones de RaaS, dijo Vikram Thakur, director de investigación de Symantec, una división de Broadcom, a Threatpost en una entrevista por correo electrónico el lunes antes de que se publique el informe. . .

«Los autores y afiliados de ransomware a menudo rotan», dijo. «Los afiliados cambian de negocio en función de los márgenes de beneficio ofrecidos por los operadores de servicios de ransomware y, en algunos casos [the] cantidad de calor de la aplicación de la ley contra algunas familias de ransomware. Poca o ninguna lealtad en su negocio «.

Céntrese en los ataques, no en el desarrollo

Cuando los investigadores observaron Yanluowang por primera vez en octubre, lo caracterizaron como «un poco subdesarrollado». Poco ha cambiado en ese departamento con respecto a los últimos ataques, dijo Thakur a Threatpost.

«No ha habido mucha mejora», dijo. «Parece que Yanluowang y sus afiliados se han centrado en realizar ataques en lugar de hacer grandes avances en el desarrollo del código».

Los investigadores proporcionaron un resumen de algunas de las herramientas utilizadas en los ataques de Yanluowang, algunas de las cuales comparten una actividad similar a los ataques de Thieflock «lo que nos lleva a creer que la persona detrás de los ataques conoce bien cómo se distribuyó Thieflock», dijo Thakur. dijo. en Threatpost.

Según el informe, los atacantes de Yanluowang también están utilizando una serie de herramientas de código abierto para comprometer y realizar actividades de reconocimiento y robo de datos.

En la mayoría de los escenarios, los atacantes usan PowerShell para descargar herramientas en sistemas comprometidos, incluido BazarLoader, que ayuda a reconocer un sistema antes de que ocurran los ataques, dijeron los investigadores.

Luego, los atacantes habilitan RDP a través del registro para permitir el acceso remoto, mediante la implementación de la herramienta legítima de acceso remoto ConnectWise, anteriormente conocida como ScreenConnect, una vez que se obtiene este acceso, dijeron.

Enlaces específicos de Thieflock

Para el movimiento lateral para identificar los sistemas de interés a los que apuntar, como un servidor de Active Directory, los atacantes de Yanluowang usan Adfind, una herramienta gratuita que se puede usar para consultar Active Directory; y SoftPerfect Network Scanner, o netscan.exe, una herramienta disponible públicamente que se utiliza para descubrir nombres de host y servicios de red. El uso de este último es similar a lo que se ha visto en los ataques Thieflock, dijeron los investigadores.

Luego, se usan varias herramientas en la siguiente fase del ataque de robo de credenciales que también se ha visto usando a los atacantes de Thieflock. Incluyen GrabFF, una herramienta que puede descargar contraseñas de Firefox; GrabChrome, una herramienta capaz de descargar contraseñas de Chrome; y BrowserPassView, una herramienta que puede descargar contraseñas de Internet Explorer y varios otros navegadores, escribieron los investigadores.

Los atacantes de Yanluowang también utilizan una serie de herramientas de código abierto como KeeThief, un script de PowerShell para copiar la clave maestra de KeePass, así como versiones personalizadas de herramientas de volcado de credenciales de código abierto para descargar las credenciales del registro.

Las herramientas de captura de datos también son parte del vector de ataque, incluida una herramienta de captura de pantalla y una herramienta de exfiltración de archivos (filegrab.exe), así como Cobalt Strike Beacon, que los investigadores vieron desplegado contra al menos un objetivo.

A pesar de los vínculos entre el uso de ciertas herramientas y tácticas en los ataques de Yanluowang que se alinean con Thieflock, Thakur dijo que las dos variantes de ransomware no parecen compartir la autoría en este momento.

«Desde un punto de vista analítico, esto significa que uno o más actores que han desplegado Thieflock en el pasado ahora están involucrados en el despliegue de Yanluowang», dijo. «Los afiliados se trasladan a diferentes grupos cuando ven mayores beneficios económicos o menos atención por parte de las fuerzas del orden».

Existe un mar de datos no estructurados en Internet relacionados con las últimas amenazas a la seguridad. REGÍSTRESE HOY para aprender los conceptos clave del procesamiento del lenguaje natural (NLP) y cómo usarlo para navegar por el océano de datos y agregar contexto a las amenazas de ciberseguridad (¡sin ser un experto!). Esta Ayuntamiento de Threatpost en VIVO e interactivo, patrocinado por Rapid 7, contará con los investigadores de seguridad Erick Galinkin de Rapid7 e Izzy Lazerson de IntSights (una empresa de Rapid7), así como la reportera de Threatpost y presentadora de seminarios web Becky Bracken.

.

Deberías compartir en tu Facebook para que tus amigos opinen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *