Los actores de amenazas detrás de un ataque de ransomware Qilin observado recientemente han robado credenciales almacenadas en los navegadores Google Chrome en un pequeño conjunto de puntos finales comprometidos. El uso de la recolección de credenciales en relación con una infección de ransomware marca un giro inusual y que podría tener consecuencias en cascada, dijo la firma de ciberseguridad Sophos en un informe del jueves. El ataque, detectado en julio de 2024, implicó infiltrarse en la red objetivo a través de credenciales comprometidas para un portal VPN que carecía de autenticación multifactor (MFA), y los actores de amenazas llevaron a cabo acciones posteriores a la explotación 18 días después de que se produjo el acceso inicial. «Una vez que el atacante llegó al controlador de dominio en cuestión, editó la política de dominio predeterminada para introducir un objeto de política de grupo (GPO) basado en el inicio de sesión que contenía dos elementos», dijeron los investigadores Lee Kirkpatrick, Paul Jacobs, Harshal Gosalia y Robert Weiland. El primero de ellos es un script de PowerShell llamado «IPScanner.ps1» que está diseñado para recolectar datos de credenciales almacenados en el navegador Chrome. El segundo elemento es un script por lotes («logon.bat») que envía comandos para ejecutar el primer script. «El atacante dejó este GPO activo en la red durante más de tres días», añadieron los investigadores. «Esto proporcionó una amplia oportunidad para que los usuarios iniciaran sesión en sus dispositivos y, sin que ellos lo supieran, activaran el script de recolección de credenciales en sus sistemas. Nuevamente, dado que todo esto se hizo utilizando un GPO de inicio de sesión, cada usuario experimentaría este robo de credenciales cada vez que iniciara sesión». Luego, los atacantes extrajeron las credenciales robadas y tomaron medidas para borrar la evidencia de la actividad antes de cifrar los archivos y colocar la nota de rescate en cada directorio del sistema. El robo de credenciales almacenadas en el navegador Chrome significa que ahora se requiere que los usuarios afectados cambien sus combinaciones de nombre de usuario y contraseña para cada sitio de terceros. «Como era de esperar, los grupos de ransomware continúan cambiando de táctica y expandiendo su repertorio de técnicas», dijeron los investigadores. «Si ellos u otros atacantes han decidido también extraer credenciales almacenadas en los puntos finales (que podrían proporcionar un pie en la puerta hacia un objetivo posterior o tesoros de información sobre objetivos de alto valor que se puedan explotar por otros medios), es posible que se haya abierto un nuevo y oscuro capítulo en la historia actual del cibercrimen». Tendencias en constante evolución en el ransomware El desarrollo se produce cuando se ha observado que grupos de ransomware como Mad Liberator y Mimic utilizan solicitudes no solicitadas de AnyDesk para la exfiltración de datos y aprovechan los servidores Microsoft SQL expuestos a Internet para el acceso inicial, respectivamente. Los ataques de Mad Liberator se caracterizan además por el abuso del acceso por parte de los actores de la amenaza para transferir y ejecutar un binario llamado «Microsoft Windows Update» que muestra una pantalla de presentación falsa de Windows Update a la víctima para dar la impresión de que se están instalando actualizaciones de software mientras se saquean los datos. El abuso de herramientas legítimas de escritorio remoto, a diferencia del malware personalizado, ofrece a los atacantes el disfraz perfecto para camuflar sus actividades maliciosas a simple vista, lo que les permite mezclarse con el tráfico normal de la red y evadir la detección. El ransomware sigue siendo una empresa rentable para los ciberdelincuentes a pesar de una serie de acciones de aplicación de la ley, y se prevé que 2024 sea el año de mayores ingresos hasta la fecha. El año también vio el pago de ransomware más grande jamás registrado, aproximadamente 75 millones de dólares al grupo de ransomware Dark Angels. «El pago de rescate medio a las cepas de ransomware más severas se ha disparado de poco menos de 200.000 dólares a principios de 2023 a 1,5 millones de dólares a mediados de junio de 2024, lo que sugiere que estas cepas están priorizando el ataque a empresas más grandes y proveedores de infraestructura crítica que pueden ser más propensos a pagar rescates altos debido a sus bolsillos profundos y su importancia sistémica», dijo la firma de análisis de blockchain Chainalysis. Se estima que las víctimas de ransomware han pagado 459,8 millones de dólares a los ciberdelincuentes en la primera mitad del año, frente a los 449,1 millones de dólares del año anterior. Sin embargo, los eventos totales de pago de ransomware medidos en cadena han disminuido interanualmente en un 27,29%, lo que indica una caída en las tasas de pago. Además, los grupos de amenazas de habla rusa representaron al menos el 69% de todos los ingresos de criptomonedas vinculados al ransomware durante el año anterior, superando los $ 500 millones. Según los datos compartidos por NCC Group, la cantidad de ataques de ransomware observados en julio de 2024 aumentó mes a mes de 331 a 395, pero por debajo de los 502 registrados el año pasado. Las familias de ransomware más activas fueron RansomHub, LockBit y Akira. Los sectores que fueron atacados con mayor frecuencia incluyen industriales, cíclicos de consumo y hoteles y entretenimiento. Las organizaciones industriales son un objetivo lucrativo para los grupos de ransomware debido a la naturaleza crítica de sus operaciones y el alto impacto de las interrupciones, lo que aumenta la probabilidad de que las víctimas puedan pagar la cantidad de rescate exigida por los atacantes. «Los delincuentes se centran en los lugares donde pueden causar más dolor y perturbaciones, por lo que el público exigirá resoluciones rápidas y, con suerte, pagos de rescate para restablecer los servicios más rápidamente», dijo Chester Wisniewski, director de tecnología de campo global de Sophos. «Esto convierte a las empresas de servicios públicos en los principales objetivos de los ataques de ransomware. Debido a las funciones esenciales que brindan, la sociedad moderna exige que se recuperen rápidamente y con una interrupción mínima». Los ataques de ransomware dirigidos al sector casi se duplicaron en el segundo trimestre de 2024 en comparación con el primer trimestre, de 169 a 312 incidentes, según Dragos. La mayoría de los ataques se dirigieron a América del Norte (187), seguida de Europa (82), Asia (29) y América del Sur (6). «Los actores del ransomware están programando estratégicamente sus ataques para que coincidan con los períodos pico de vacaciones en algunas regiones para maximizar las interrupciones y presionar a las organizaciones para que paguen», dijo NCC Group. Malwarebytes, en su propio informe sobre el estado del ransomware en 2024, destacó tres tendencias en las tácticas de ransomware durante el año pasado, incluido un aumento en los ataques durante los fines de semana y las primeras horas de la mañana entre la 1 a. m. y las 5 a. m., y una reducción en el tiempo desde el acceso inicial hasta el cifrado. Otro cambio notable es el aumento de la explotación de los servicios de borde y la persecución de pequeñas y medianas empresas, dijo WithSecure, y agregó que el desmantelamiento de LockBit y ALPHV (también conocido como BlackCat) ha provocado una erosión de la confianza dentro de la comunidad cibercriminal, lo que hace que los afiliados se alejen de las principales marcas. De hecho, Coveware afirmó que más del 10% de los incidentes gestionados por la empresa en el segundo trimestre de 2024 no estaban afiliados, lo que significa que fueron «atribuidos a atacantes que operaban deliberadamente de forma independiente de una marca específica y lo que normalmente llamamos ‘lobos solitarios'». «Los continuos desmantelamientos de foros y mercados de ciberdelincuentes acortaron el ciclo de vida de los sitios delictivos, ya que los administradores del sitio intentan evitar llamar la atención de las fuerzas del orden», dijo Europol en una evaluación publicada el mes pasado. «Esta incertidumbre, combinada con un aumento de las estafas de salida, ha contribuido a la continua fragmentación de los mercados delictivos. Las recientes operaciones de las fuerzas del orden y la filtración de códigos fuente de ransomware (por ejemplo, Conti, LockBit y HelloKitty) han provocado una fragmentación de los grupos de ransomware activos y las variantes disponibles». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.