La campaña de ransomware conocida como LeakNet empleó tácticas de ingeniería social ClickFix entregadas a través de sitios web comprometidos como método de acceso inicial.
El uso de ClickFix, que permite engañar a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, supone un alejamiento de los métodos tradicionales para obtener acceso inicial, como el robo de credenciales obtenidas de un intermediario de acceso inicial (IAB), dijo ReliaQuest en un informe técnico publicado hoy.
El segundo aspecto clave de estos ataques es el uso de un cargador de comando y control (C2) por etapas construido sobre el tiempo de ejecución de JavaScript de Deno para ejecutar la carga maliciosa directamente en la memoria.
«La clave aquí es que ambos vectores de entrada conducen a la misma secuencia post-explotación repetible cada vez», dijo la firma de ciberseguridad. «Esto les da a los defensores la capacidad de ser específicos: independientemente de cómo ingrese LeakNet, es un comportamiento conocido que puede detectarse y detenerse en cada etapa del ransomware, mucho antes de que se implemente».
LeakNet surgió por primera vez en noviembre de 2024, autodenominándose un “vigilante digital” y posicionando sus actividades como centradas en la libertad y la transparencia en Internet. Según los datos recogidos por Dragos, el grupo también apunta a las asociaciones industriales.
Usar ClickFix para comprometer a las víctimas proporciona varios beneficios. Lo más importante es que reduce la dependencia de proveedores externos, reduce el costo de adquisición por víctima y elimina el cuello de botella operativo que supone esperar a que lleguen al mercado cuentas valiosas.
Estos ataques utilizan sitios legítimos pero comprometidos para proporcionar una verificación de validación CAPTCHA falsa que indica a los usuarios que copien y peguen el comando «msiexec.exe» en un cuadro de diálogo Ejecutar de Windows. Los ataques no se limitan a ninguna industria en particular, sino que abarcan una amplia red para infectar a tantas víctimas como sea posible.
Este desarrollo se produce a medida que más actores de amenazas adoptan el manual de estrategias de ClickFix. Este manual explota flujos de trabajo cotidianos y confiables para atraer a los usuarios a ejecutar comandos maliciosos a través de herramientas legítimas de Windows de una manera aparentemente rutinaria y segura.
«La adopción de ClickFix por parte de LeakNet representa la primera expansión documentada de las capacidades de acceso temprano del grupo, así como un cambio estratégico significativo», dijo ReliaQuest.
«Al alejarse de IAB, LeakNet elimina las dependencias que naturalmente limitan su operación rápida y generalizada. Además, debido a que ClickFix se entrega a través de un sitio web legítimo (pero comprometido), no presenta las mismas señales obvias en la capa de red que la infraestructura propiedad del atacante».
Además de utilizar ClickFix para iniciar la cadena de ataque, a LeakNet se le atribuye el uso de un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria para minimizar la evidencia en el disco y evitar la detección. Esta carga útil está diseñada para tomar huellas dactilares de un sistema comprometido, conectarse a un servidor externo para recuperar la siguiente etapa del malware y entrar en un ciclo de sondeo que recupera y ejecuta repetidamente código adicional a través de Deno.
Por otra parte, ReliaQuest anunció que también observó intentos de intrusión en los que los actores de amenazas utilizaron phishing basado en Microsoft Teams para diseñar socialmente a los usuarios para que lanzaran cadenas de carga útil, generando en última instancia cargadores similares basados en Deno. Aunque se desconoce la causa de esta actividad, el uso de un enfoque BYOR (Bring Your Own Runtime) indica una expansión del vector de acceso inicial de LeakNet o que otros actores de amenazas han adoptado esta técnica.
Las actividades posteriores a la infracción de LeakNet siguen una metodología consistente. Es decir, comienza utilizando la descarga de DLL para iniciar una DLL maliciosa entregada a través del cargador, seguido del movimiento lateral, la filtración de datos y el cifrado mediante PsExec.
«LeakNet ejecuta cmd.exe /c klist, un comando integrado de Windows que muestra las credenciales de autenticación activas en un sistema comprometido. Esto permite a los atacantes actuar más rápido y con mayor cautela al saber qué cuentas y servicios ya son accesibles sin requerir nuevas credenciales», dijo ReliaQuest.
«Para la puesta en escena y la exfiltración, LeakNet utiliza depósitos S3 y aprovecha la apariencia del tráfico regular en la nube para reducir la huella de descubrimiento».
El desarrollo se produce después de que Google revelara que Qilin (también conocido como Agenda), Akira (también conocido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (también conocido como FireFlame y FuryStorm) y Sinobi emergieron como las 10 principales marcas de ransomware con más víctimas reportadas en sitios de violación de datos.
“En un tercio de los incidentes, la primera ruta de acceso fue una explotación conocida o sospechada de una vulnerabilidad, principalmente en una VPN o firewall común”, dijo Google Threat Intelligence Group (GTIG), y agregó que el 77% de las intrusiones de ransomware analizadas involucraron presuntos robos de datos, en comparación con el 57% en 2024.
«A pesar de la continua perturbación causada por el conflicto y la perturbación del adversario, los atacantes de ransomware siguen muy motivados y el ecosistema de extorsión muestra una resistencia continua. Sin embargo, varios indicadores sugieren que la rentabilidad general de estas actividades está disminuyendo, y que al menos algunos actores de amenazas están alejando sus cálculos de objetivos de las grandes empresas y centrándose en cambio en ataques de gran volumen contra organizaciones pequeñas».
Source link
