Seguridad

Aumenta la propagación de una nueva variante de MedusaLocker

Redacción28/10/2024
4 minutos de lectura

De acuerdo con Cisco Talos, observó recientemente un ataque que llevó al despliegue de una variante del ransomware MedusaLocker conocida como «BabyLockerKZ».

Las técnicas distinguibles –incluyendo el almacenamiento consistente del mismo conjunto de herramientas en la misma ubicación en los sistemas comprometidos– el uso de herramientas que tienen la ruta PDB con la cadena «paid_memes» y el uso de una herramienta de movimiento lateral llamada «checker»- utilizadas en el ataque permitieron echar un vistazo más profundo para tratar de entender más sobre este actor de amenaza, explicó la marca.

Agregó que este atacante utiliza varias herramientas de ataque conocidas públicamente y binarios «living-off-the-land» (LoLBins), un conjunto de herramientas construidas por el mismo desarrollador (posiblemente el atacante) para ayudar en el robo de credenciales y el movimiento lateral en organizaciones comprometidas. Estas herramientas son en su mayoría envoltorios de herramientas disponibles públicamente que incluyen funcionalidades adicionales para agilizar el proceso de ataque y proporcionan interfaces gráficas o de línea de comandos.

El mismo desarrollador creó la variante de MedusaLocker utilizada en el ataque inicial. Esta variante que utiliza las mismas URL de chats y sitios de filtraciones contiene varias diferencias con respecto al ransomware MedusaLocker original, como una clave de ejecución automática diferente o un conjunto adicional de claves públicas y privadas almacenadas en el registro. Basándose en el nombre de la clave de ejecución automática, los atacantes llaman a esta variante «BabyLockerKZ».

Se evaluó que el actor está motivado financieramente, probablemente trabajando como un agente de acceso inicial (IAB) o un afiliado de un cártel de ransomware, y ha estado llevando a cabo ataques desde al menos 2022. La telemetría de Talos indica que el actor atacó de forma oportunista a muchas víctimas en todo el mundo. A finales de 2022 y principios de 2023, la mayoría de las víctimas se encontraban en países europeos, pero desde el primer trimestre de 2023, el enfoque del grupo cambió hacia países sudamericanos y, como resultado, el número de víctimas por mes casi se duplicó.

Anunciante

Seguimiento de BabyLockerKZ en todo el mundo

La información recopilada por Talos sobre las herramientas empleadas habitualmente por el actor de la amenaza permiten estimar el número y los países de origen de las víctimas. Aunque es improbable que esto capte todas las actividades del adversario, proporciona una visión de una ventana específica de actividad.

El atacante lleva activo al menos desde octubre de 2022. En ese momento, los objetivos se encontraban principalmente en países europeos como Francia, Alemania, España o Italia. Durante el segundo trimestre de 2023, el volumen de ataques por mes casi se duplicó, y el grupo cambió su enfoque hacia países sudamericanos como Brasil, México, Argentina y Colombia, como se muestra en el gráfico. Los ataques mantuvieron un volumen constante de alrededor de 200 IP únicas comprometidas al mes hasta el primer trimestre de 2024, cuando los ataques disminuyeron.

“El actor ha comprometido un gran número de organizaciones, a menudo más de 100 por mes, desde al menos 2022. Esto revela la naturaleza profesional y agresiva de los ataques y es coherente con la actividad que esperaríamos de un IAB o afiliado de ransomware”, señaló Tiago Pereira, Arnaud Zobec | Cisco Talos

Tácticas, técnicas y procedimientos (TTPs) y herramientas del atacante

Durante el ataque que llevó al despliegue de BabyLockerKZt, el adversario utilizó varias herramientas de ataque conocidas públicamente y otras que podrían ser exclusivas de este actor. El grupo utilizó con frecuencia las carpetas de usuario Música, Imágenes o Documentos de los sistemas comprometidos para almacenar las herramientas de ataque. Los siguientes son dos ejemplos de rutas que se utilizaron para almacenar herramientas durante este ataque, el resto, así como las herramientas –Checker, PTH project, Mimik, etc– que utilizaron, pueden consultarse aquí.

Cobertura

A continuación, se enumeran las formas en que las organizaciones pueden detectar y bloquear esta amenaza.

  • Los endpoints seguros son ideales para prevenir la ejecución del malware.
  • El escaneo web impide el acceso a sitios web maliciosos y detecta el malware utilizado en estos ataques.
  • La protección avanzada para resguardar bandejas de entrada puede bloquear correos electrónicos maliciosos enviados por actores de amenazas como parte de su campaña.
  • Los firewalls pueden detectar actividad maliciosa asociada a esta amenaza.
  • Los analíticos de red y de nube revisan el tráfico de red y alertan a los usuarios de actividades potencialmente no deseadas en todos los dispositivos conectados.
  • El análisis seguro de malware identifica binarios maliciosos e incorpora protección a lo largo y ancho de la red.
  • Las puertas de enlace seguro a internet (SIG) bloquean la conexión de los usuarios a dominios, IP y URL maliciosos, tanto si los usuarios están dentro como fuera de la red corporativa.
  • Los dispositivos web seguros bloquean automáticamente los sitios potencialmente peligrosos y comprueba los sitios sospechosos antes de que los usuarios accedan a ellos.
  • Adicionalmente, implementar la autenticación multifactor a los usuarios para garantizar que sólo acceden a la red las personas autorizadas.

En este enlace también pueden consultarse los indicadores de que una red ha sido comprometida, finalizó Cisco Talos.

[email protected]

WhatsApp eSemanal 55 7360 5651

También te puede interesar:

Ataques DDoS se disparan 49% en el Q3 2024

Seguridad en la nube: 5 claves para las pymes mexicanas

El phishing sigue siendo la amenaza cibernética con mayor impacto en el mundo

México sufrió 31 mil millones de intentos de ciberataques durante la primera mitad del año

 

Etiquetas
Redacción28/10/2024
4 minutos de lectura

Publicaciones relacionadas

Hackers toman control de cámaras de seguridad obsoletas para expandir botnet

27/05/2025

Presencia de bots maliciosos creció un 12% respecto al año anterior

22/05/2025

Identifican al ecosistema de la IA como el principal riesgo de seguridad relacionado con la GenAI

21/05/2025

Menos del 1% de las empresas en méxico cuentan con seguro de riesgo cibernético

13/05/2025
Botón volver arriba
Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap