La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) reveló el jueves que los actores de ransomware están apuntando a instancias no remuneradas de monitorización y gestión de control remoto (RMM) para infringir a los clientes de proveedores de software de facturación de servicios públicos no identificados.
«Este incidente refleja un patrón más amplio de actores de ransomware dirigidos a organizaciones a través de versiones no ganadas de SimpleHelp RMM desde enero de 2025», dijo la agencia en su recomendación.
A principios de este año, SimpleHelp descubrió un conjunto de fallas (CVE-2024-57727, CVE-2024-57728 y CVE-2024-57726) que podrían conducir a la divulgación de información, la escalada privilegiada y la ejecución del código remoto.
Desde entonces, las vulnerabilidades han sido explotadas repetidamente en la naturaleza, incluidos grupos de ransomware como Dragon Force que violan los objetivos de interés. El mes pasado, Sophos reveló que el despliegue del proveedor de servicios administrados SimpleHelp usará estos defectos para acceder a los actores de amenazas y aprovecharlo para que pivote a otros clientes aguas abajo.
CISA dijo que SimpleHelp versión 5.5.7 y más tarde contiene múltiples vulnerabilidades, incluidas CVE-2024-57727, que los equipos de ransomware están aprovechando para acceder a instancias de ayuda no ganadas de clientes posteriores debido a ataques forzados dobles.
La agencia describe la siguiente mitigación de que las organizaciones que incluyen proveedores de servicios de terceros que usan SimpleHelp para conectarse a clientes aguas abajo pueden implementar para responder mejor a las actividades de ransomware:
Identifica y aísla las instancias del servidor SimpleHelp de Internet, se actualiza a la última versión, notifica a los clientes aguas abajo y les indica que tomen medidas para asegurar los puntos finales. Las copias de seguridad mantienen copias de seguridad de limpieza regular y fuera de línea que se abstienen de exponer servicios remotos como el protocolo de escritorio remoto (RDP) en la web
La CISA dijo que no alienta a las víctimas a pagar el rescate porque no hay garantía de que los resurrectores proporcionados por los actores de amenaza ayuden a recuperar sus archivos.
“Además, los pagos podrían desencadenar enemigos para dirigirse a organizaciones adicionales y alentar a otros delincuentes a participar en la distribución de ransomware.
Ataque de ransomware de niebla implementa software de monitoreo de empleados
El desarrollo se produce como Symantec, propiedad de Broadcom, detalló un ataque de ransomware de niebla dirigida a instituciones financieras asiáticas no identificadas, que combina herramientas de acre de uso dual y de código abierto que no se han observado en otras intrusiones relacionadas con el ransomware.
FOG es la variante de ransomware detectada por primera vez en mayo de 2024. Al igual que otras operaciones de ransomware, los equipos motivados financieramente adoptan credenciales de red privada virtual (VPN) comprometidas y vulnerabilidades del sistema para acceder a los datos de red y cifrado de una organización.
Las secuencias de infección alternativas emplean archivos de Windows Actualcuts (LNK) contenidos en los archivos ZIP, que luego se distribuyen por correo electrónico y ataques de phishing. Ejecutar el archivo LNK lleva a la descarga del script PowerShell responsable de eliminar el cargador de ransomware que contiene la carga útil del casillero de niebla.
Los ataques también se caracterizan por el uso de técnicas avanzadas para aumentar los privilegios y evitar la detección implementando el código malicioso directamente en la memoria y deshabilitando las herramientas de seguridad. La niebla puede apuntar a los puntos finales de Windows y Linux.
Según Trend Micro, a partir de abril de 2025, los actores de amenaza de niebla habían reclamado 100 víctimas en los sitios de fuga de datos desde principios de año, y la mayoría de las víctimas estaban vinculadas a los sectores de tecnología, educación, fabricación y transporte.
«Los atacantes utilizaron un software legítimo de monitoreo de empleados llamado Syteca (anteriormente Ekran), lo cual es muy inusual», dijo Symantec. «También implementaron varias herramientas Pentest de código abierto de GC2, Adaptix y Stowaway (GC2, Adaptix y Stowaway), que no se usan comúnmente durante los ataques de ransomware».
Se desconoce el vector de acceso inicial exacto utilizado en el incidente, pero se sabe que los actores de amenazas usan Stowaway, una herramienta proxy ampliamente utilizada por los grupos de piratería chinos para proporcionar Syteca. Vale la pena señalar que GC2 está siendo utilizado en un ataque llevado a cabo por el grupo de piratería patrocinado por el estado chino APT41 en 2023.
También descargué programas legítimos como 7-ZIP, FreeFilesync y Megasync para crear un archivo de datos comprimido para la delaminación de datos.
Otro aspecto interesante del ataque es que varios días después de que se desplegó el ransomware, el atacante creó un servicio para establecer la persistencia en la red. Se dice que los funcionarios de amenazas pasaron unas dos semanas antes de dejar caer el ransomware.
«Este es un paso extraordinario para ver en los ataques de ransomware, y cuando un atacante elimina los datos y implementa ransomware, la actividad maliciosa generalmente se detiene en la red, pero los atacantes en este incidente parecen querer mantener el acceso a la red de la víctima».
Una táctica inusual ha planteado la posibilidad de que la compañía haya sido atacada por razones de espionaje, y que los actores de amenaza desplegaron el ransomware de niebla como una distracción para ocultar sus verdaderos objetivos o ganar dinero rápido.
La fuga del panel de Lockbit revela que China es la más dirigida
Los hallazgos también coinciden con la revelación de que el esquema Lockbit Ransomware-A-Service (RAAS) ha ganado alrededor de $ 2.3 millones en los últimos seis meses, lo que indica que el grupo E-Rym continúa funcionando a pesar de varias compensaciones.
Además, el análisis de Trellix de Rockbit Geographic, desde diciembre de 2024 hasta abril de 2025, basado en la fuga del panel administrador de mayo de 2025, reveló que China es uno de los países más dirigidos por Aophikudis, Piotlbond y James Scraig. Otros objetivos notables incluyen Taiwán, Brasil y Türkiye.
«La concentración de ataques en China sugiere que hay un enfoque importante en este mercado, probablemente debido a su gran sector industrial y sector de fabricación», dijo el investigador de seguridad Jambourg Trolognov.
«A diferencia de los grupos negros de busca y contilers, a diferencia de los grupos que a veces investigan los objetivos chinos sin encriptar, Lockbit parece estar dispuesto a operar dentro de los límites de China, ignora las posibles consecuencias políticas y marcan diferencias interesantes en su enfoque».
Las filtraciones del panel de afiliados instaron a Lockbit a anunciar recompensas financieras por información verificable sobre «xoxo de Praga», un actor anónimo que se atribuyó la responsabilidad de la filtración.
Además de eso, Lockbit parece beneficiarse de la repentina cancelación de Ransomhub hacia fines de marzo de 2025, lo que hace que algunas de las últimas afiliadas, incluida Baleybeach y Guillaumeatkinson, obligen a moverse a Lockbit y reactivar sus operaciones en un esfuerzo continuo para desarrollar la próxima versión de Ransomwear 5.0.
«Lo que esta fuga realmente muestra es la realidad compleja y, en última instancia, poco atractiva, de sus actividades ilegales de ransomware. Es rentable, pero está lejos de ser una operación lucrativa a gran escala totalmente organizada», concluyó Tororonov.
Source link
