Se ha observado que los antiguos miembros asociados con las operaciones de BlackbusTaroransomware están atascados con el enfoque de prueba y error del bombardeo por correo electrónico y los equipos de Microsoft en phishing para establecer un acceso persistente a la red objetivo.
«Los atacantes recientemente introdujeron la ejecución de script de Python junto con estas técnicas, utilizando solicitudes de curl para implementar cargas útiles maliciosas», dijo Reliaquest en un informe compartido con Hacker News.
El desarrollo es una señal de que los actores de amenaza continúan pivotando y reorganizándose a pesar de que la marca Black Busta sufre un gran golpe y disminución después de la fuga de registros internos de chat a principios de febrero.
La compañía de ciberseguridad dijo que la mitad de los ataques de phishing del equipo observados entre febrero y mayo de 2025 provienen del dominio Onmicrosoft (.) Com, con el dominio comprometido que representa el 42% de los ataques durante el mismo período. Este último es mucho más sigiloso, lo que permite a los actores de amenaza que se esfuerzan por el tráfico legal en los ataques.
Al igual que el mes pasado, el sector financiero y de seguros de Reliaquest y los clientes de construcción están siendo atacados utilizando el phishing del equipo que engaña a los usuarios para que fingen ser el personal de la mesa de ayuda.
«El cierre del sitio de fuga de datos de Black Basta indica que a pesar del uso continuo de sus tácticas, es probable que los afiliados anteriores se hayan mudado a otro grupo RAAS o formado un nuevo grupo», agregó la compañía. «El escenario más probable es que un ex miembro se ha unido al Grupo Cactus Raas, evidenciado por Trump, el líder de Black Busta, quien se refiere a un pago de $ 500-600,000 a Cactus en chats filtrados».
Dicho esto, vale la pena señalar que desde marzo de 2025, las cactus no han nombrado organizaciones en sitios de fuga de datos. Esto indica que el grupo se ha roto o intenta intencionalmente evitar atraer atención a sí mismos. Otra posibilidad es que los afiliados se hayan mudado a BlackRock. Se cree que esto comenzó a trabajar con un cartel de ransomware llamado Dragonforce.
Los actores de amenazas también aprovechan el acceso obtenido a través de las técnicas de phishing del equipo para aprovechar el acceso a la primera sesión de escritorio remota a través de asistencia rápida y Anydesk, descargue los scripts maliciosos de Python desde la dirección remota y se ejecute para establecer la comunicación de comando y control (C2).
«El uso de los guiones de Python en este ataque destaca las tácticas que evolucionan que probablemente se vuelvan más comunes en futuras campañas de phishing en el equipo en el futuro cercano», dijo Reliaquest.
La estrategia de ingeniería social de Black Busta Style, que utiliza una combinación de spam por correo electrónico, phishing de equipo y asistencia rápida, encuentra a los tomadores dentro del grupo de ransomware de traje negro, aumentando la probabilidad de que los afiliados de traje negro hayan adoptado el enfoque del grupo o absorbidos a los miembros del grupo.
Según Rapid7, el acceso inicial sirve como un camino para descargar y ejecutar las variantes actualizadas de ratas basadas en Java que previamente se implementaron para servir como una cosechadora calificada para los ataques Black Basta.
«Java Malware abusa de los servicios de alojamiento de archivos basados en la nube que tanto Google como Microsoft proporcionan a los comandos proxy a través de sus respectivos servidores de proveedores de servicios en la nube (CSP)», dice la compañía. «Con el paso del tiempo, los desarrolladores de malware se han movido recientemente a usar Google Drive, dirigiéndose hacia conexiones directas de proxy (es decir, opciones de configuración que se quedan en blanco o no presentes), OneDrive y Google Sheets».
Una nueva iteración de los archivos de malware transfiere entre el host infectado y el servidor remoto, inicia un túnel proxy Socks5, roba credenciales almacenadas en un navegador web, presenta una ventana de inicio de sesión de Windows falso, descarga las clases de Java de la URL incluida y las ejecuta en la memoria.
Al igual que el ataque de ransomware 3am detallado por Sophos hace unas semanas, la intrusión también se caracteriza por el uso de puertas traseras de túnel llamada Qdoor, un malware previamente atribuido a trajes negros y el uso de un cargador personalizado de utilidad SSH y una carga útil oxidada de ratas Python llamadas anubis.
Los resultados surgen entre muchos desarrollos en paisajes de ransomware –
El grupo motivado financieramente conocido como arañas dispersas apunta a los proveedores de servicios administrados (MSP) y a los proveedores de TI como parte de un enfoque de «uno para administrar» que impregna múltiples organizaciones a través de un solo compromiso. La araña dispersa omitió la autenticación multifactor (MFA) utilizando el kit de phishing EvilGinx y utilizó alianzas estratégicas con operadores de ransomware líderes como AlphV (también conocido como BlackCat), RansomHub) y Dragonforce para crear páginas de inicio de sesión falsas. Los operadores de ransomware de Qilin (también conocido como Agenda y Phantom Mantis) lanzaron una campaña de intrusión coordinada dirigida a varias organizaciones entre mayo y junio de 2025 mediante el armamento de las vulnerabilidades de Fortinet FortiGate (como CVE-2024-21762 y CVE-2024-55591) para el acceso inicial. Se estima que el grupo de ransomware de juego (también conocido como Balloonfly y PlayCrypt) ha comprometido 900 entidades en mayo de 2025 a mediados de mayo de 2025. Algunos ataques han aprovechado los fallas de SimpleHelp (CVE-2024-57727) para dirigirse a muchas entidades basadas en Estados Unidos después de la revelación de la vulnerabilidad. El administrador del grupo de ransomware Vanhelsing filtró todo el código fuente para el foro de rampa, citando una disputa interna entre desarrolladores y liderazgo. Los detalles filtrados incluyen blogs con teclas TOR, código fuente de ransomware, paneles web de administrador, sistemas de chat, servidores de archivos y una base de datos completa por producto. El grupo de ransomware entrelazado desplegó un troyano de acceso remoto de JavaScript previamente indocumentado como parte de un ataque dirigido a gobiernos locales del Reino Unido y organizaciones de educación superior en enero y marzo de 2025.
«La RAT permite a los atacantes controlar de forma remota los sistemas infectados, acceder a archivos, monitorear la actividad y manipular la configuración del sistema», dijo Quorum Cyber. «Los actores de amenaza pueden usar ratones para mantener la persistencia dentro de su organización, implementar herramientas y malware adicionales en sus entornos, y también acceder, manipular, destruir o eliminar datos».
Source link
