La banda de ransomware NoName ha estado tratando de construirse una reputación atacando a pequeñas y medianas empresas de todo el mundo con sus cifradores durante más de tres años y es posible que ahora esté trabajando como afiliado de RansomHub.
La pandilla utiliza herramientas personalizadas conocidas como la familia de malware Spacecolon y las implementa después de obtener acceso a una red mediante métodos de fuerza bruta, además de explotar vulnerabilidades más antiguas como EternalBlue (CVE-2017-0144) o ZeroLogon (CVE-2020-1472).
En ataques más recientes, NoName utilizó el ransomware ScRansom, que reemplazó al cifrador Scarab. Además, el actor de amenazas intentó hacerse un nombre experimentando con el generador de ransomware LockBit 3.0, creando un sitio de fuga de datos similar y utilizando notas de rescate similares.
ransomware ScRansom
La empresa de ciberseguridad ESET rastrea a la pandilla NoName bajo el nombre de CosmicBeetle y ha rastreado sus actividades desde 2023, con la aparición de ScRansom, un malware de cifrado de archivos basado en Delphi.
en un informe Hoy en día, los investigadores señalan que, si bien ScRansom (parte de la familia de malware Spacecolon) no es tan sofisticado como otras amenazas en la escena del ransomware, es una amenaza que continúa “evolucionando”.
El malware admite cifrado parcial con diferentes modos de velocidad para permitir a los atacantes cierta versatilidad y también tiene un modo “BORRAR” que reemplaza el contenido del archivo con un valor constante, haciéndolo irrecuperable.
ScRansom puede cifrar archivos en todas las unidades, incluidos medios fijos, remotos y extraíbles, y permite al operador determinar a qué extensiones de archivo apuntar a través de una lista personalizable.
Antes de iniciar el cifrador, ScRansom elimina una lista de procesos y servicios en el host de Windows, incluidos Windows Defender, Volume Shadow Copy, SVCHost, RDPclip, LSASS y procesos asociados con las herramientas de VMware.
ESET señala que el esquema de cifrado de ScRansom es bastante complicado y utiliza una combinación de AES-CTR-128 y RSA-1024, y una clave AES adicional generada para proteger la clave pública.
Fuente: ESET
Sin embargo, el proceso de varios pasos que implica múltiples intercambios de claves a veces introduce errores que pueden provocar fallas en el descifrado de archivos, incluso cuando se utilizan las claves correctas.
Además, si el ransomware se ejecuta por segunda vez en el mismo dispositivo o en una red de varios sistemas separados, se generarán nuevos conjuntos de claves únicas e ID de víctima, lo que hace que el proceso de descifrado sea bastante complejo.
ESET destaca un caso en el que una víctima recibió 31 credenciales de descifrado y claves de protección AES después de pagar ScRansom y aún así no pudo recuperar todos los archivos cifrados.
NoName utilizó la fuerza bruta para obtener acceso a las redes, pero el actor de amenazas también aprovechó varias vulnerabilidades que es más probable que estén presentes en entornos SMB:
• CVE-2017-0144 (también conocido como EternalBlue),
• CVE-2023-27532 (una vulnerabilidad en un componente de Veeam Backup & Replication)
• CVE-2021-42278 y CVE-2021-42287 (vulnerabilidades de escalada de privilegios de AD) a través de noPac
• CVE-2022-42475 (una vulnerabilidad en FortiOS SSL-VPN)
• CVE-2020-1472 (también conocido como Zerologon)
Un reciente Informe puro7una empresa de ciberseguridad en Turquía, también menciona que CVE-2017-0290 también fue explotado en ataques NoName a través de un archivo por lotes (DEF1.bat) que realiza cambios en el registro de Windows para deshabilitar funciones, servicios o tareas de Windows Defender.
NoName implementa herramientas de RansomHub
El ascenso de NoName al estado de afiliado de RansomHub fue precedido por una serie de acciones que demuestran la dedicación de la pandilla a la industria del ransomware. Como ScRansom no era un nombre establecido en la escena, la pandilla decidió adoptar un enfoque diferente para aumentar su visibilidad.
En septiembre de 2023, CosmicBeetle creó un sitio de extorsión en la web oscura llamado “NONAME”, que era una copia modificada del sitio de fuga de datos (DLS) de LockBit que incluía víctimas realmente comprometidas por LockBit, no por ScRansom, descubrieron los investigadores después de verificar varios servicios de seguimiento de DLS. .
Fuente: ESET
En noviembre de 2023, el actor de amenazas incrementó sus esfuerzos de robo de identidad al registrar el dominio lockbitblog.[.]información y personalización del DLS con el tema y logotipo de LockBit.
Fuente: ESET
Los investigadores también descubrieron ataques recientes en los que se implementó una muestra de LockBit, pero la nota de rescate incluía una identificación de víctima que ya habían vinculado a CosmicBeetle. Además, el conjunto de herramientas del incidente se superpuso con malware atribuido al actor de amenazas CosmicBeetle/NoName.
Mientras investigaban un incidente de ransomware que comenzó a principios de junio con una implementación fallida de ScRansom, los investigadores de ESET descubrieron que el actor de la amenaza había ejecutado en la misma máquina menos de una semana después EDR Killer de RansomHub, una herramienta que permite escalar privilegios y deshabilitar agentes de seguridad. mediante la implementación de un controlador legítimo y vulnerable en dispositivos específicos.
Dos días después, el 10 de junio, los piratas informáticos ejecutaron el ransomware RansomHub en la máquina comprometida.
Los investigadores notan el método de extracción del asesino de EDR, que era típico de CosmicBeetle y no de un afiliado de RansomHub.
Como no hay ninguna filtración pública del código de RansomHub o su generador, los investigadores de ESET “creen con mediana confianza que CosmicBeetle se ha registrado como un nuevo afiliado de RansomHub”.
Aunque la afiliación con RanssomHub no es segura, ESET afirma que el cifrador ScRansom está en desarrollo. Combinado con el cambio de ScRansom a LockBit, esto indica que CosmicBeetle no muestra signos de darse por vencido.