25.7 C
Uruguay
sábado, diciembre 3, 2022
InicioCiberseguridadLa nueva campaña de extorsión libre de malware de Luna Moth despega

La nueva campaña de extorsión libre de malware de Luna Moth despega


Los investigadores han detectado un actor de amenazas que ha logrado extorsionar a cientos de miles de dólares en los últimos meses, en su mayoría a pequeñas y medianas empresas, sin usar herramientas de cifrado ni malware.



En cambio, el atacante, denominado Luna Moth (también conocido como el grupo de ransomware “Silencioso”), ha estado utilizando una variedad de herramientas legítimas y una técnica denominada “phishing de devolución de llamada”. La táctica es robar datos confidenciales de las organizaciones víctimas y usarlos como palanca para extorsionarlos.

Ataques dirigidos

La mayoría de los ataques hasta ahora se han dirigido a organizaciones más pequeñas en la industria legal; Sin embargo, más recientemente, el adversario también ha comenzado a perseguir a empresas más grandes en el sector minorista, dijeron investigadores de la Unidad 42 de Palo Alto Network en un informe el lunes. La evolución de los ataques sugiere que el actor de amenazas se ha vuelto más eficiente con sus tácticas y ahora representa un peligro para las empresas de todos los tamaños, advirtió el proveedor de seguridad.

“Estamos viendo que esta táctica se dirige con éxito a empresas de todos los tamaños, desde grandes minoristas hasta organizaciones legales pequeñas y medianas”, dice Kristopher Russo, investigador principal de amenazas de la Unidad 42 de Palo Alto Networks. “Debido a que la ingeniería social apunta a individuos, el tamaño de la empresa no ofrece mucha protección”.

El phishing de devolución de llamada es una táctica que los investigadores de seguridad observaron por primera vez en el grupo de ransomware Conti hace más de un año en una campaña para instalar el malware BazarLoader en los sistemas de las víctimas.

Phishing de devolución de llamada

La estafa comienza cuando un adversario envía un correo electrónico de phishing a un individuo específico en una organización víctima. El correo electrónico de phishing está hecho a medida para el destinatario, se origina en un servicio de correo electrónico legítimo e implica algún tipo de señuelo para que el usuario inicie una llamada telefónica con el atacante.

En los incidentes de Luna Moth que Los investigadores de la Unidad 42 observaron, el correo electrónico de phishing contiene una factura, en forma de archivo PDF, para un servicio de suscripción a nombre del destinatario. Los atacantes informan a la víctima que la suscripción pronto se activará y se facturará al número de tarjeta de crédito registrado. El correo electrónico proporciona un número de teléfono a un supuesto centro de llamadas, o a veces varios números, a los que los usuarios pueden llamar si tienen preguntas sobre la factura. Algunas de las facturas tienen logotipos de una empresa conocida en la parte superior de la página.

“Esta factura incluso incluye un número de seguimiento único utilizado por el centro de llamadas”, dice Russo. “Entonces, cuando la víctima llama al número para disputar la factura, parece un negocio legítimo”.

Luego, los atacantes convencen a los usuarios que llamaron para iniciar una sesión remota con ellos utilizando la herramienta de soporte remoto Zoho Assist. Una vez que la víctima se conecta a la sesión remota, el atacante toma el control del teclado y el mouse de la víctima, permite el acceso al portapapeles y borra la pantalla del usuario, dijo Unit 42.

Después de que los atacantes hayan logrado eso, su próximo paso ha sido instalar el software legítimo de soporte remoto Syncro para mantener la persistencia en la máquina de la víctima. También han implementado otras herramientas legítimas como Rclone o WinSCP para robarle datos. Las herramientas de seguridad rara vez marcan estos productos como sospechosos porque los administradores tienen casos de uso legítimos para ellos en un entorno.

En los primeros ataques, el adversario instaló múltiples herramientas de administración y monitoreo remoto, como Atera y Splashtop, en los sistemas de las víctimas, pero últimamente parecen haber reducido su conjunto de herramientas, dijo Unit 42.




Si una víctima no tiene derechos administrativos en su sistema, el atacante evita cualquier intento de mantener la persistencia en él y, en cambio, pasa directamente a robar datos aprovechando WinSCP Portable.

“En los casos en que el atacante estableció persistencia, la exfiltración ocurrió horas o semanas después del contacto inicial. De lo contrario, el atacante solo exfiltró lo que pudo durante la llamada”, dijo la Unidad 42 en su informe.

Aplicar la mayor presión

El grupo Luna Moth generalmente ha buscado datos que, cuando se aprovechan, ejercerán la mayor presión sobre la víctima, dice Russo. Al apuntar a firmas legales, el atacante parecía tener un buen conocimiento de la industria, conociendo el tipo de datos que probablemente causaría el mayor daño en las manos equivocadas.

“En los casos que investigó la Unidad 42, se enfocaron en datos sensibles y confidenciales de los clientes de la firma de abogados”, explica Russo. “El atacante revisó los datos que robaron e incluyó una muestra de los datos más dañinos que robaron en el correo electrónico de extorsión”.

En muchos ataques, el adversario llamó a los principales clientes de la víctima por su nombre y amenazó con contactarlos si la organización de la víctima no pagaba el rescate exigido, que generalmente oscila entre 2 y 78 Bitcoin.

En los casos que ha investigado la Unidad 42, los atacantes no se movieron lateralmente una vez que tuvieron acceso a la máquina de la víctima. “Sin embargo, continúan monitoreando la computadora comprometida si la víctima tiene credenciales de administrador, llegando incluso a llamar y burlarse de las víctimas si detectan esfuerzos de remediación”, dice Russo.

Sygnia, una de las primeras en informar sobre las actividades de Luna Moth, describió que el grupo probablemente surgiría en marzo. El proveedor de seguridad dijo que había observó el actor de amenazas utilizando herramientas de acceso remoto disponibles comercialmente como Atera, Splashtop y Syncro, así como AnyDesk para la persistencia. Sygnia dijo que sus investigadores también habían observado al actor de amenazas usando otras herramientas legítimas como el escáner de red SoftPerfect para el reconocimiento y SharpShares para la enumeración de la red. La táctica del atacante ha sido almacenar las herramientas en sistemas comprometidos con nombres que falsifican binarios legítimos, dijo Sygnia.

“El actor de amenazas en esta campaña busca específicamente minimizar su huella digital para evadir la mayoría de los controles de seguridad técnicos”, dice Russo.

Debido a que se han basado completamente en la ingeniería social y las herramientas legítimas en la campaña, los ataques dejan muy pocos artefactos, dijo la Unidad 42. Por lo tanto, “recomendamos que las organizaciones de todos los tamaños lleven a cabo una capacitación de seguridad para los empleados” para protegerse contra la nueva amenaza, dice Russo.



Fuente

Anuncios

- Anuncios -
- Anuncios -

Otras Noticias