La firma de ciberseguridad Huntress ha descubierto una nueva variante de ransomware que ya se ha utilizado en la naturaleza. Con los atacantes que afirman ser parte del famoso grupo de ransomware Blackbyte, la nueva variante, llamada ‘Crux’, marca una evolución «inquietante» en sus capacidades. Vinculado a una organización el 4 de julio. La actividad a través de estos puntos finales varió, señaló Huntress. En algunos, el actor de amenaza había desactivado la recuperación de Windows a través de BCDEDIT.exe y se activó informes canarios, mientras que en otras se detectó una actividad adicional, como los vertederos de registros remotos, las instalaciones del controlador y el uso de rcLone.on el mismo día, un incidente por separado que involucra bcdedit.exe resultó en los archivos canarios de rango. Basado en la telemetría EDR, el actor de amenazas parecía haber creado cuentas de usuarios y comandos ejecutados que eran indicativos de movimiento lateral, antes de deshabilitar la recuperación de Windows e implementar el ransomware. Mayor, mientras que el tercer incidente, registrado el 13 de julio, mostró que el actor de amenaza comprometió y usó una cuenta de soporte de usuarios. En este caso, Huntress dijo que también accedieron al punto final a través de la cuenta del administrador. Significa hoy y recibirá una copia gratuita de nuestro informe Future Focus 2025: la orientación líder sobre la IA, la seguridad cibernética y otros desafíos de TI según 700+ Ejecutivos superiores «para los primeros dos incidentes que no pudimos determinar el vector de acceso debido a varios factores, sin embargo, para el tercer incidente, que encontramos el acceso inicial a través de la visión inicial de la visión inicial de los Vectores iniciales. [Remote Desktop Protocol] RDP «, dijo Huntress.» El ejecutable de ransomware se ha visto ejecutándose desde diferentes carpetas (por ejemplo, carpeta temperada, C: \ Windows, etc.) y con diferentes nombres en cada punto final. The executable file hashes were different for each incident/impacted organization.»Once the executable is launched, Huntress noted that it has a distinctive process tree that progresses from the unsigned ransomware binary – through svchost.exe, cmd.exe, and bcdedit.exe – before encrypting files.The attackers also exhibit rapid deployment and data exfiltration attempts using tools like rClone.exe.similary, muestran signos claros de conocimiento de infraestructura previa. Acerca de Blackbeblackbyte es un grupo de ransomware como servicio (RAAS) que ha estado en escena desde 2021 y ha utilizado múltiples variantes de ransomware a lo largo de los años, según Huntress. El grupo ha cobrado responsabilidad por una serie de ataques en los Estados Unidos y en otros lugares, a menudo se dirige a las infraestructuras críticas como las instalaciones gubernamentales, las instituciones financieras, y las organizaciones de alimentos y la agricultura y las organizaciones agrícolas. la amenaza «. Si bien tenemos una visión limitada del vector de acceso inicial aquí, dado el hecho de que en un incidente el adversario parecía dirigirse a RDP, es importante actuar sobre nuestros consejos continuos para asegurar las instancias de RDP expuestas», dijo Huntress «, el actor de la amenaza también tiene una preferencia de los procesos legítimos como los procesos legítimos como BCDedit. (EDR) puede ayudar a sus actores de amenaza en su entorno. «Asegúrese de seguir a ITPro en Google News para vigilar todas nuestras últimas noticias, análisis y reseñas. Más de ITPro