Según un nuevo aviso de CISA y el FBI, el ransomware BlackSuit (ex Royal) ha exigido hasta 500 millones de dólares en rescates hasta la fecha, y una demanda de rescate individual alcanzó los 60 millones de dólares.

"Los actores de BlackSuit han mostrado su disposición a negociar los montos de pago", dijeron las agencias. "Los montos de los rescates no son parte de la nota de rescate inicial, sino que requieren una interacción directa con el actor de la amenaza a través de una URL .onion (accesible a través del navegador Tor) proporcionada después del cifrado".

Los ataques que involucran ransomware se han dirigido a varios sectores de infraestructura crítica que abarcan instalaciones comerciales, atención médica y salud pública, instalaciones gubernamentales y fabricación crítica.

Esta evolución del ransomware Royal, aprovecha el acceso inicial obtenido a través de correos electrónicos de phishing para desactivar el software antivirus y exfiltrar datos confidenciales antes de implementar finalmente el ransomware y cifrar los sistemas.

Otras vías de infección comunes incluyen el uso del Protocolo de escritorio remoto (RDP), la explotación de aplicaciones vulnerables que dan a Internet y el acceso adquirido a través de Intermediarios de Acceso Inicial (IAB).

Se sabe que los actores de BlackSuit utilizan software y herramientas legítimos de monitorización y gestión remota (RMM) como el malware SystemBC y GootLoader para mantener la persistencia en las redes de las víctimas.

Se ha observado que los actores de BlackSuit utilizan SharpShares y SoftPerfect NetWorx para enumerar las redes de las víctimas. También se han encontrado en los sistemas de las víctimas la herramienta de robo de credenciales Mimikatz, disponible públicamente, y las herramientas de recolección de contraseñas de Nirsoft. A menudo se utilizan herramientas como PowerTool y GMER para matar procesos del sistema.

CISA y el FBI han advertido de un aumento en los casos en los que las víctimas reciben comunicaciones telefónicas o por correo electrónico de los actores de BlackSuit sobre el ataque y el rescate, una táctica que cada vez adoptan más las bandas de ransomware para aumentar la presión.

"En los últimos años, los actores de amenazas parecen estar cada vez más interesados ​​no solo en amenazar directamente a las organizaciones, sino también a las víctimas secundarias", dijo la firma de ciberseguridad Sophos en un informe publicado esta semana. "Por ejemplo, como se informó en enero de 2024, los atacantes amenazaron con 'atacar' a los pacientes de un hospital oncológico y enviaron mensajes de texto amenazantes a la esposa de un director ejecutivo".

Eso no es todo. Los actores de amenazas también han afirmado que evalúan los datos robados en busca de evidencia de actividad ilegal, incumplimiento normativo y discrepancias financieras, llegando incluso al extremo de afirmar que un empleado de una organización comprometida había estado buscando material de abuso sexual infantil publicando el historial de su navegador web.

Estos métodos agresivos no solo pueden usarse como una herramienta adicional para obligar a sus objetivos a pagar, sino que también infligen daño a la reputación al criticarlos por ser poco éticos o negligentes.

El desarrollo se produce en medio de la aparición de nuevas familias de ransomware como Lynx, OceanSpy, Radar, Zilla (variante de Crysis/Dharma), y Zola (variante del ransomware Proton), incluso cuando los grupos de ransomware existentes están constantemente evolucionando su modus operandi incorporando nuevas herramientas a su arsenal.

Un ejemplo de caso es Hunters International, que ha sido observado utilizando un nuevo malware basado en C# llamado SharpRhino como vector de infección inicial y un troyano de acceso remoto (RAT). Una variante de la familia de malware ThunderShell, se distribuye a través de un dominio de Typosquatting que se hace pasar por la popular herramienta de administración de red Angry IP Scanner.

Vale la pena señalar que se han detectado campañas de publicidad maliciosa que distribuyen el malware tan recientemente como enero de 2024. El RAT de código abierto también se llama Parcel RAT y SMOKEDHAM.

"Al ejecutarse, establece persistencia y proporciona al atacante acceso remoto al dispositivo, que luego se utiliza para avanzar en el ataque", dijo el investigador de Quorum Cyber, Michael Forret. "Usando técnicas nunca antes vistas, el malware puede obtener un alto nivel de permiso en el dispositivo para garantizar que el atacante pueda continuar con su ataque con una interrupción mínima".

Se considera que Hunters International es una nueva marca del ahora desaparecido grupo de ransomware Hive. Detectado por primera vez en octubre de 2023, se ha atribuido la responsabilidad de 134 ataques en los primeros siete meses de 2024.

Fuente: THN