Investigadores de seguridad de Microsoft informaron sobre una nueva ola de ataques de ransomware CACTUS que, mediante señuelos de publicidad maliciosa, implementaron DanaBot como vector inicial de acceso. Este tipo de ataque, según lo dichos del equipo de Microsoft Threat Intelligence, se da mediante una actividad muy práctica en el teclado por parte del operador de ransomware Storm-0216 (Twisted Spider, UNC2198), que culmina en la implementación del ransomware CACTUS.
DanaBot , rastreado por el gigante tecnológico como Storm-1044, es una herramienta multifuncional similar a Emotet, TrickBot, QakBot e IcedID capaz de actuar como un ladrón y un punto de entrada para cargas útiles. Adicionalmente a esto, los expertos de Mandiant aseguran haber observado que UNC2198 infecta también puntos finales con IcedID para implementar familias de ransomware como Maze y Egregor.
Por otro lado, se supo también que el actor de amenazas aprovechaba el acceso inicial dado por las infecciones de QakBot, sin embargo, al identificarse el cambio hacia DanaBot, se cree que probablemente sea por el resultado de una operación policial coordinada en agosto de 2023 en la que se derribó a la infraestructura de QakBot.
Los expertos también señalan que, «La actual campaña de Danabot, observada por primera vez en noviembre de este año, parece estar utilizando una versión privada del malware de robo de información en lugar de la oferta de malware como servicio».
Las credenciales recopiladas por el malware se transmiten a un servidor controlado por el actor, al que sigue un movimiento lateral mediante intentos de inicio de sesión RDP y, en última instancia, se concede el acceso a Storm-0216.
La divulgación se produce días después de que Arctic Wolf revelara otro conjunto de ataques de ransomware CACTUS que explotaban activamente vulnerabilidades críticas en una plataforma de análisis de datos llamada Qlik Sense para obtener acceso a redes corporativas. Otros de los descubrimientos fue una nueva cepa de ransomware para macOS denominada Turtle que está escrita en el lenguaje de programación Go y está firmada con una firma ad hoc, lo que impide que se ejecute en el momento del lanzamiento debido a las protecciones Gatekeeper.
Fuente
https://thehackernews.com/2023/12/microsoft-warns-of-malvertising-scheme.html
Ciberprisma - alianza por la ciberseguridad 