Una nueva campaña de ransomware se centró en los sectores de transporte y logística en Ucrania y Polonia el 11 de octubre con una carga previamente desconocida denominada Prestige .
“La actividad comparte victimología con la actividad reciente alineada con el estado ruso, específicamente en las geografías y países afectados, y se superpone con las víctimas anteriores del malware FoxBlade (también conocido como HermeticWiper)”, dijo el Microsoft Threat Intelligence Center (MSTIC) .
El gigante tecnológico comentó que las intrusiones ocurrieron con una hora de diferencia entre todas las víctimas, atribuyendo las infecciones a un grupo sin nombre llamado DEV-0960. No reveló la escala de los ataques, pero afirmó que está notificando a todos los clientes afectados.
También se cree que la campaña es distinta de otros ataques destructivos recientes que involucraron el uso de HermeticWiper y CaddyWiper , el último de los cuales es lanzado por un cargador de malware llamado ArguePatch (también conocido como AprilAxe).
El método de acceso inicial sigue siendo desconocido, y Microsoft señaló que el actor de amenazas ya había obtenido acceso privilegiado al entorno comprometido para implementar el ransomware utilizando tres métodos diferentes.
En un desarrollo relacionado, Fortinet FortiGuard Labs reveló una cadena de ataque de múltiples etapas que aprovecha un documento de Microsoft Excel armado, que se hace pasar por una hoja de cálculo para generar salarios para el personal militar ucraniano para lanzar Cobalt Strike Beacon.
«El panorama de amenazas en Ucrania continúa evolucionando, y los ataques de limpieza y destructivos han sido un tema constante», señaló Redmond. «Los ataques de ransomware y limpiaparabrisas se basan en muchas de las mismas debilidades de seguridad para tener éxito».
Nagios es un poderoso sistema de administración de TI y un paquete de software de monitoreo de TI que permite a las organizaciones identificar y resolver problemas de infraestructura de TI antes de que afecten los procesos comerciales críticos.
Conocer..
Los hallazgos se producen en medio de una explosión de cepas de ransomware relativamente nuevas que han estado ganando terreno en el panorama de amenazas, incluido el de Bisamware, Chile Locker , Royal y Ransom Cartel , en los últimos meses.
Ransom Cartel, que surgió a mediados de diciembre de 2021, también se destaca por compartir superposiciones técnicas con REvil ransomware , que cerró en octubre de 2021 luego de un inmenso escrutinio policial en sus operaciones después de una serie de ataques de alto perfil en JBS y Kaseya.
Se sospecha que «los operadores de Ransom Cartel tenían acceso a versiones anteriores del código fuente del ransomware REvil», observó la Unidad 42 de Palo Alto Networks el 14 de octubre, afirmando que «hubo una relación entre los grupos en algún momento, aunque puede que no haya sido reciente .»
REvil, a principios de enero, sufrió un nuevo revés cuando las autoridades rusas arrestaron a varios miembros, pero hay indicios de que el notorio cartel del cibercrimen puede haber protagonizado un regreso de alguna forma.
La firma de ciberseguridad Trellix, a fines de septiembre, también reveló cómo una «fuente interna descontenta» del grupo compartió detalles sobre las tácticas, técnicas y procedimientos (TTP) del adversario, brindando una visión crucial de las «relaciones y el funcionamiento interno de REvil y sus miembros.
No es solo REvil el que ha vuelto a estar en el radar del ransomware. HP Wolf Security dijo la semana pasada que aisló una campaña de Magniber que se ha encontrado dirigida a usuarios domésticos de Windows con actualizaciones de seguridad falsas que emplean un archivo JavaScript para propagar el malware de cifrado de archivos.
«Los atacantes utilizaron técnicas inteligentes para evadir los mecanismos de protección y detección», señaló el analista de malware Patrick Schläpfer. «La mayor parte de la cadena de infección es ‘sin archivos’, lo que significa que el malware solo reside en la memoria, lo que reduce las posibilidades de que se detecte».
Fuente: thehackernews.com
Si te ha gustado, ¡compártelo con tus amigos!
