Un importante ataque de ransomware ha comprometido recientemente el sector bancario de la India, afectando a bancos y proveedores de pagos. El ataque se ha dirigido principalmente a Brontoo Technology Solutions, un socio importante de C-Edge Technologies Ltd, una colaboración entre Tata Consultancy Services y State Bank of India. Según un nuevo aviso publicado hoy por CloudSek, la vulneración inicial se produjo a través de un servidor Jenkins mal configurado en Brontoo Technology Solutions. Aprovechando una vulnerabilidad conocida (CVE-2024-23897), los atacantes obtuvieron acceso a la shell segura leyendo claves privadas debido a un puerto 22 abierto. CloudSEK sospecha, con moderada certeza, que el acceso inicial fue negociado por IntelBroker, un actor de amenazas en foros de vulneraciones, y vendido al grupo RansomEXX para una mayor explotación. Sin embargo, independientemente del acceso inicial, se ha confirmado que el grupo de ransomware responsable de este ataque es RansomEXX, que opera una variante de malware más sofisticada, RansomEXX v2.0. Inicialmente conocido como Defray777, este grupo ha evolucionado desde 2018, y cambió su nombre a RansomEXX en 2020. La variante v2.0 refleja avances en cifrado, tácticas de evasión y entrega de carga útil. RansomEXX v2.0 emplea múltiples vectores de infección, incluido el phishing y la explotación de vulnerabilidades del protocolo de escritorio remoto y debilidades en las VPN. Después de obtener acceso inicial, el grupo utiliza herramientas como Cobalt Strike y Mimikatz para moverse lateralmente dentro de las redes y escalar privilegios. El ransomware cifra los archivos utilizando algoritmos robustos como RSA-2048 y AES-256, lo que hace que la recuperación sin la clave de descifrado sea prácticamente imposible. Las víctimas reciben notas de rescate detalladas con instrucciones de pago, que generalmente exigen criptomonedas. Lea más sobre la explotación de las vulnerabilidades de Jenkins: CI/CD en riesgo a medida que se lanzan exploits para un error crítico de Jenkins CloudSEK advirtió que el ataque resalta una vulnerabilidad crítica en la seguridad de la cadena de suministro. “Las grandes organizaciones con presupuestos de seguridad sustanciales son más difíciles de vulnerar, lo que lleva a los atacantes a aprovechar la vía de menor resistencia”, escribió la empresa. “En consecuencia, los ataques a la cadena de suministro se han vuelto cada vez más frecuentes”. La empresa también dijo que actualmente hay negociaciones en curso con el grupo de ransomware y que los datos robados aún no se han publicado en su sitio web de relaciones públicas. Dado el historial de altas demandas de rescate de RansomEXX, se prevé un enfoque similar. Crédito de la imagen: Harshit Srivastava S3 / Shutterstock.com