Gestión de fraudes y delitos cibernéticos, Ransomware NoName se especializa en exploits de cola largaPrajeet Nair (@prajeetspeaks) • 11 de septiembre de 2024 El grupo de ransomware NoName dice que en realidad no tiene nombre. (Imagen: Shutterstock) El prometedor grupo de extorsión criminal en línea RansomHub parece tener un nuevo afiliado: NoName, un actor de nivel medio cuyo principal reclamo a la fama hasta ahora ha sido hacerse pasar por la operación de ransomware como servicio LockBit. NoName es conocido por explotar vulnerabilidades de hace años. Ver también: Mitigación de riesgos de identidad, movimiento lateral y escalada de privilegios Los investigadores de Eset dijeron el martes que evalúan con mediana confianza que NoName ha unido fuerzas con RansomHub. Eset citó un incidente de piratería de junio en una empresa de fabricación india anónima en el que los piratas informáticos de NoName inicialmente no lograron infectar los sistemas con su propio ransomware: malware criptográfico rastreado como ScRansom. Después de días de intentarlo, los piratas informáticos lo lograron utilizando una herramienta de eliminación de ransomware EDR de RansomHub para eludir la protección de los endpoints e implementar el cifrador RansomHub. “Hasta donde sabemos, no hay filtraciones públicas del código de RansomHub ni de su generador”, afirmó Eset. RansomHub hizo su debut a principios de este año y tiene reputación de ser un practicante de ransomware “eficiente y exitoso”, dijo el gobierno federal de EE. UU. en un aviso de agosto (ver: RansomHub Hits Powered by Ex-Affiliates of LockBit, BlackCat). NoName, que Eset rastrea como CosmicBeetle, ha estado activo desde al menos 2020. En septiembre de 2023, creó un sitio de filtraciones que imitaba el sitio de LockBit y afirmaba que las víctimas de LockBit eran suyas. En agosto, parece haber utilizado el generador filtrado de LockBit 3.0 en un ataque. Las operaciones de NoName son conocidas por explotar vulnerabilidades de hace años que las pequeñas y medianas empresas dejaron sin parchear y usar esas fallas en ataques que se extienden por todo el mundo. Las vulnerabilidades favoritas del grupo incluyen CVE-2017-0144, una vulnerabilidad de ejecución de código de bloque de mensajes del servidor de Windows que se hizo de conocimiento público después de que un grupo que se hace llamar Shadow Brokers filtrara un exploit desarrollado por la Agencia de Seguridad Nacional de EE. UU. llamado EternalBlue (ver: No es coincidencia: el grupo de ecuaciones oportunas de Microsoft soluciona el problema). A NoName también le gusta explotar una falla en Veeam Backup identificada como CVE-2023-27532 y una falla de 2022 en FortiOS SSL-VPN identificada como CVE-2022-42475 (ver: Fortinet corrige una falla crítica de código remoto). El último malware cifrador del grupo, ScRansom, es relativamente básico y a menudo conduce a la pérdida permanente de datos. A veces se necesitan varias claves de descifrado para desbloquear archivos, y algunas se pierden por completo debido a fallas en el proceso de cifrado. El cambio de CosmicBeetle para hacerse pasar por la notoria banda LockBit parece ser un intento deliberado de reforzar su reputación. Los investigadores descubrieron que el grupo había estado experimentando con el constructor filtrado de LockBit e incluso había creado un sitio de filtración falso, llamado Noname, que imitaba la plataforma de LockBit, alojaba notas de rescate e intentaba convencer a las víctimas de que habían sido el objetivo del infame grupo. Las versiones anteriores de ScRansom, que está escrito en Delphi, requerían interacción manual; los atacantes necesitaban acceso al sistema de la víctima para ejecutar manualmente el ransomware. Este enfoque probablemente permitió que el malware evadiera la detección en sandboxes automatizados. URL de la publicación original: https://www.databreachtoday.com/noname-apparently-allies-ransomhub-operation-a-26266