Se ha observado que un grupo hacktivista conocido como Twelve utiliza un arsenal de herramientas disponibles públicamente para llevar a cabo ciberataques destructivos contra objetivos rusos.
“En lugar de exigir un rescate por descifrar los datos, Twelve prefiere cifrar los datos de las víctimas y luego destruir su infraestructura con un limpiador para evitar la recuperación”, explica Kaspersky. dicho en un análisis del viernes.
“Este enfoque revela un deseo de causar el máximo daño a las organizaciones objetivo sin obtener beneficios financieros directos. »
El grupo de piratas informáticos, que se cree que se formó en abril de 2023 después del inicio de la guerra ruso-ucraniana, tiene un historial de lanzamiento de ciberataques destinados a paralizar las redes de las víctimas e interrumpir las operaciones comerciales.
También se le ha observado realizando operaciones de piratería y filtración que filtran información confidencial, que luego se comparte en su canal de Telegram.
Kaspersky dijo que Twelve comparte superposiciones tácticas y de infraestructura con un grupo de ransomware llamado estrella negra (también conocido como COMET o Shadow), lo que plantea la posibilidad de que los dos conjuntos de intrusiones probablemente estén relacionados entre sí o formen parte del mismo grupo de actividad.
“Al mismo tiempo, si bien las acciones de Twelve son claramente de naturaleza hacktivista, DARKSTAR se apega al modelo clásico de doble extorsión”, dijo el proveedor ruso de ciberseguridad. “Esta variación de objetivos dentro del sindicato resalta la complejidad y diversidad de las amenazas cibernéticas modernas. »
Las cadenas de ataques comienzan obteniendo acceso inicial mediante el abuso de cuentas locales o de dominio válidas, después de lo cual se utiliza el Protocolo de escritorio remoto (RDP) para facilitar el movimiento lateral. Algunos de estos ataques también se llevan a cabo a través de los contratistas de la víctima.
“Para hacer esto, pudieron acceder a la infraestructura del subcontratista y luego usaron su certificado para conectarse a la VPN de su cliente”, dijo Kaspersky. “Una vez que se obtiene este acceso, el adversario puede conectarse a los sistemas del cliente a través del Protocolo de escritorio remoto (RDP) y luego penetrar la infraestructura del cliente. »
Otras herramientas utilizadas por Twelve incluyen Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner y PsExec para robo de credenciales, descubrimiento, mapeo de redes y escalada de privilegios. Las conexiones RDP maliciosas al sistema se enrutan a través de ngrok.
Los shells web PHP también se implementan con capacidades para ejecutar comandos arbitrarios, mover archivos o enviar correos electrónicos. programascomo el Shell web de la OSMestán disponibles en GitHub.
En un incidente investigado por Kaspersky, los actores de amenazas supuestamente explotaron vulnerabilidades de seguridad conocidas (p. ej. CVE-2021-21972 Y CVE-2021-22005) en VMware vCenter para proporcionar una caparazón web que luego se utilizó para abrir una puerta trasera denominada FaceFish.
“Para afianzarse en la infraestructura del dominio, el atacante utilizó PowerShell para agregar usuarios y grupos al dominio y modificar las listas de control de acceso (ACL) de los objetos de Active Directory”, explicó. “Para evitar ser detectados, los atacantes disfrazaron su malware y sus tareas bajo nombres de productos o servicios existentes. »
Algunos de los nombres utilizados incluyen “Microsoft Update”, “Yandex”, “YandexUpdate” e “intel.exe”.
Los ataques también se caracterizan por el uso de un script de PowerShell (“Sophos_kill_local.ps1”) para finalizar procesos relacionados con el software de seguridad de Sophos en el host comprometido.
Los pasos finales implican el uso del Programador de tareas de Windows para iniciar ransomware y borrar cargas útiles, no sin antes recopilar y filtrar información confidencial sobre sus víctimas a través de un servicio para compartir archivos llamado DropMeFiles en formato de archivo ZIP.
“Los atacantes utilizaron una versión del popular ransomware LockBit 3.0, compilado a partir de un código fuente disponible públicamente, para cifrar los datos”, dijeron los investigadores de Kaspersky. “Antes de comenzar a funcionar, el ransomware detiene los procesos que pueden interferir con el cifrado de archivos individuales. »
El limpiador, idéntico al malware Shamoon, reescribe el registro de arranque maestro (MBR) en las unidades conectadas y sobrescribe todo el contenido del archivo con bytes generados aleatoriamente, impidiendo efectivamente la recuperación del sistema.
“El grupo se apega a un arsenal de herramientas de malware conocidas y disponibles públicamente, lo que sugiere que no fabrica ninguna propia”, señaló Kaspersky. “Esto ayuda a detectar y prevenir doce ataques a tiempo. »