Un grupo de ciberdelincuentes que ha disfrutado de un ascenso meteórico a la cima de la cadena alimentaria del ransomware tiene una nueva herramienta en su arsenal: un nuevo troyano de acceso remoto (RAT). El grupo utiliza esta herramienta en ataques que parecen estar dirigidos a profesionales de TI.
Investigadores de Quorum Cyber reveló en un artículo de blog reciente que Hunters International, activo desde octubre pasado, despliega Colmena ransomwareEl grupo utiliza el nuevo malware, denominado SharpRhino, primero para obtener acceso a la infraestructura específica y luego para establecer persistencia y permitir a los atacantes mantener el acceso remoto al dispositivo.
SharpRhino compromete sistemas disfrazados de la herramienta de administración de red de código abierto Angry IP Scanner utilizando dominios tipográficos. Debido a que Angry IP Scanner es de código abierto, los atacantes pueden abusar y hacer un mal uso de los certificados de firma de código válidos para que parezca que un administrador de red está descargando software con un certificado válido, pero en realidad está instalando el malware, según el artículo.
Tras la ejecución, SharpRhino establece persistencia y proporciona a los atacantes acceso remoto al dispositivo, que luego utilizan para lanzar un ataque típico de ransomware utilizando Hive ransomware. Hunters International adquirió el malware de sus propietarios originales, un grupo que se disolvió tras su ejecución. tomo de por las autoridades internacionales poco después de su creación.
“Utilizando técnicas novedosas, el malware puede obtener un alto nivel de permiso en el dispositivo para garantizar que el atacante pueda continuar atacando con una interrupción mínima”, escribió en la publicación Michael Forret, analista de inteligencia de amenazas cibernéticas de Quorum.
Evolución de un grupo de ransomware
SharpRhino muestra los avances de Hunters International, un grupo vinculado a Rusia. En los primeros siete meses de 2024, el grupo se atribuyó la responsabilidad de 134 ataques. Él rápidamente elevado al ascendente como el décimo grupo de ransomware más activo en 2024 gracias a la posesión de Hive.
Al explotar el ransomware, el grupo se posicionó como un ransomware como servicio (RaaS) proveedor que trabaja con actores menos sofisticados para hacer gran parte del trabajo sucio, lo que le permite lanzar Hive más rápidamente. “Ser un proveedor de RaaS es probablemente una de las principales causas de su rápido ascenso a la prominencia”, escribió Forret.
Como muchos otros operadores de ransomwareHunters International extrae datos de las organizaciones víctimas antes de cifrar los archivos, luego cambia las extensiones de los archivos a .locked y deja un mensaje README que dirige a los destinatarios a un portal de chat en la red Tor para recibir instrucciones de pago.
“El cifrador en sí presenta un diseño sofisticado, codificado en Rust, un lenguaje de programación cada vez más preferido por los ciberdelincuentes por sus características de seguridad, eficiencia y resistencia a la ingeniería inversa”, escribió Forret. “Esta táctica es consistente con la evolución observada en el desarrollo del ransomware, con ejemplos notables como Hive y BlackCat. »
Disfrazado de software legítimo
Los investigadores analizaron una muestra de SharpRhino que utilizó un certificado válido firmado por J-Golden Strive Trading Co. Ltd. El archivo que entregó el malware era un ejecutable comprimido por Nullsoft Scriptable Installer System (NSIS), un archivo común que la mayoría de las herramientas de compresión como 7-Zip pueden entender y leer, observó Forret.
El sistema de instalación establece la persistencia modificando el Ejecutar\ActualizarClaveWindows registro con el acceso directo para Microsoft.AnyKey, y establece dos directorios en la C:\ProgramData\Microsoft — llamado Actualizador de Windows24 y otro llamado LogUpdateWindows— para facilitar múltiples canales para el comando y control (C2) de Hunters International como un “mecanismo de respaldo”, señaló Forret.
“Si el archivo Actualizador de Windows24 y su contenido es descubierto por un motor de seguridad o un profesional, existe la posibilidad de que el mecanismo de persistencia permanezca y el dispositivo siga infectado”, escribió.
En última instancia, el objetivo de SharpRhino en un ataque es darle a Hunters International persistencia y control de un sistema específico para “lanzar un sofisticado ataque de ransomware” para obtener ganancias financieras, lo que el grupo hace sin priorizar un sector o región, sino apuntando “por medios oportunistas”. Forret escribió.
Qurom Cyber ha incluido una lista de indicadores de compromiso para SharpRhino para que las organizaciones puedan identificar si los administradores de red descargaron accidentalmente el RAT en lugar de la herramienta legítima que pensaban que estaban implementando. También proporcionó mapeo de Mitre ATT&CK para los procesos de defensa y evasión, descubrimiento, escalada de privilegios, ejecución, persistencia y C2 de la RAT.