Un nuevo aviso conjunto de ciberseguridad de la Oficina Federal de Investigaciones, la Agencia de Seguridad de Infraestructura y Ciberseguridad y el Centro de Delitos Cibernéticos del Departamento de Defensa expuso nueva información sobre el infame actor de amenazas con sede en Irán conocido como Fox Kitten. El grupo vende el acceso corporativo que obtiene en foros clandestinos de cibercriminales y colabora activamente con afiliados de ransomware para ayudar a pedir rescates a las víctimas. El actor de amenazas ha puesto sus miras en infiltrarse en Estados Unidos y otras organizaciones extranjeras en las últimas semanas. ¿Quién es Fox Kitten? Fox Kitten, también conocido como Pioneer Kitten, UNC757, Parasite, Rubidium y Lemon Sandworm, es un actor de amenazas que ha cometido activamente ciberespionaje desde al menos 2017. El FBI dijo que el grupo está asociado con el gobierno iraní y apoya el robo de datos técnicos confidenciales contra varias organizaciones, según el aviso. El actor de amenazas ha apuntado a empresas en el Medio Oriente como Israel y Azerbaiyán, pero también a empresas en Australia, Finlandia, Irlanda, Francia, Alemania, Argelia, Turquía, Estados Unidos y posiblemente más. Según el aviso, Fox Kitten ha llevado a cabo un gran volumen de intentos de intrusión en la red informática contra organizaciones estadounidenses desde 2017. Sus objetivos han incluido escuelas, gobiernos municipales, instituciones financieras e instalaciones sanitarias con sede en Estados Unidos, con incidentes tan recientes como agosto de 2024. La empresa de ciberseguridad OT Dragos señaló que el actor de amenazas también apuntó a entidades relacionadas con ICS explotando vulnerabilidades en dispositivos de red privada virtual. El aviso también reveló que el grupo utiliza «el nombre de la empresa iraní Danesh Novin Sahand (número de identificación 14007585836), probablemente como una entidad de TI encubierta para las actividades cibernéticas maliciosas del grupo». Más que solo ciberespionaje En 2020, la operación «Pay2Key», liderada por Fox Kitten, demostró que el actor de amenazas podía perseguir otros objetivos en lugar de simplemente facilitar el ciberespionaje. Según la empresa israelí ClearSky Cyber Security, los ataques de ransomware se dirigieron a organizaciones israelíes con ransomware no denunciado anteriormente, pero la campaña de ataques probablemente fue propaganda para causar miedo y crear pánico en Israel. Los datos robados durante los ataques fueron expuestos públicamente en un sitio de filtraciones que mencionaba «Pay2Key, ¡la pesadilla del ciberespacio de Israel!», como se muestra en el informe. Otro informe, publicado por la empresa de ciberseguridad CrowdStrike en 2020, reveló que el actor de amenazas también anunció la venta de acceso a redes comprometidas en un foro clandestino. Los investigadores consideran esta actividad como un posible intento de diversificación del flujo de ingresos, junto con las intrusiones dirigidas en apoyo del gobierno iraní. Colaboración con afiliados de ransomware Una vez que Fox Kitten ha obtenido acceso a las redes de las víctimas, el grupo colabora con algunos afiliados de ransomware de NoEscape, RansomHouse y ALPHV/BlackCat. El actor de amenazas proporciona acceso completo a los afiliados de ransomware a cambio de un porcentaje de los pagos de rescate. Fox Kitten proporciona más que solo acceso a redes comprometidas, según el FBI. El grupo trabaja en estrecha colaboración con los afiliados de ransomware para bloquear las redes de las víctimas y elaborar estrategias para extorsionarlas. Sin embargo, el grupo no revela su ubicación en Irán a sus contactos de afiliados de ransomware y se mantiene vago en cuanto a su origen. El aviso conjunto revela que el grupo se refiere a sí mismo con el apodo «Br0k3r» y ha utilizado «xplfinder» en sus canales en 2024. Cobertura de seguridad de lectura obligada Detalles técnicos Fox Kitten utiliza el motor de búsqueda Shodan para identificar direcciones IP que alojan dispositivos vulnerables a exploits específicos, como Citrix Netscaler, F5 Big-IP, Pulse Secure/Ivanti VPN o firewalls PanOS. Una vez que se explotan las vulnerabilidades, el actor de amenazas: Planta webshells y captura credenciales de inicio de sesión antes de crear tareas maliciosas para agregar malware de puerta trasera y continuar comprometiendo el sistema. Utiliza credenciales comprometidas para crear nuevas cuentas en las redes de las víctimas usando nombres discretos como «IIS_Admin» o «sqladmin$». Obtiene el control de las credenciales de administrador para iniciar sesión en controladores de dominio y otras partes de la infraestructura. El software de seguridad y antivirus existentes también se desactivan. ‘Br0k3r’ ha estado activo durante más de un año El aviso conjunto proporciona varios indicadores de compromiso, pero también enumera los identificadores TOX para el apodo «Br0k3r». TOX es un software de mensajería instantánea peer to peer diseñado para proporcionar comunicaciones seguras y utiliza claves únicas para identificar a los usuarios. El identificador TOX único para «Br0k3r» ya ha sido expuesto en 2023 por el SANS Institute como un corredor de acceso inicial que vende acceso a redes corporativas en diferentes países, incluidos EE. UU., Canadá, China, Reino Unido, Francia, Italia, Noruega, España, India, Taiwán y Suiza. El actor de amenazas Br0k3r ofrece acceso a redes corporativas y menciona una posible cooperación en un foro clandestino. Imagen: SANS Institute No es de extrañar que el actor de amenazas tenga como objetivo a EE. UU., ya que es el país más afectado por el ransomware según la empresa de ciberseguridad MalwareBytes. Aprovechamiento de los foros de ciberdelincuentes El actor de amenazas proporcionó un sitio web único alojado en Tor para anunciar su acceso en varios foros de ciberdelincuentes diferentes. Una primera versión del sitio web de Br0k3r indica que cada venta contiene control total del dominio, incluidas credenciales de administrador de dominio, credenciales de usuario de Active Directory, zonas y objetos DNS y confianzas de dominio de Windows. Primera versión del sitio web alojado en Tor de Br0k3r. Imagen: SANS Institute Una segunda versión del sitio web lanzada alrededor de agosto de 2023 indica «Numerosas bandas de ransomware activas trabajando conmigo en un porcentaje justo». Segunda versión del sitio web alojado en Tor de Br0k3r. Imagen: SANS Institute Cómo proteger su empresa de esta amenaza El método de compromiso inicial implementado por Fox Kitten consiste en explotar vulnerabilidades conocidas en varios dispositivos diferentes que dan a Internet, en particular VPN corporativas o dispositivos de firewall. Para protegerse de esta amenaza cibernética, las empresas deben: Actualizar y parchear los dispositivos VPN y firewall para evitar caer en tales vulnerabilidades. Actualizar y parchear todos los sistemas operativos, y el software debe estar actualizado y parcheado. Monitorear quién tiene acceso a las VPN para cualquier conexión sospechosa o intento de conexión. También se debe utilizar un filtro en los dispositivos VPN, de modo que los empleados solo puedan conectarse desde su conexión a Internet habitual cuando sea necesario. Revise y analice los archivos de registro. Cualquier descubrimiento de un indicador de compromiso proporcionado en el informe conjunto debe dar lugar a una investigación inmediata. Implemente soluciones de seguridad en cada punto final y servidor para detectar actividades sospechosas. Por último, el FBI y la CISA no recomiendan pagar el rescate, ya que no hay garantía de que las víctimas recuperen sus archivos cifrados, y esos pagos también podrían financiar otras actividades delictivas. Divulgación: trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.
