Un grupo de hackers conocido como Twelve ha sido observado utilizando un arsenal de herramientas disponibles públicamente para llevar a cabo ciberataques destructivos contra objetivos rusos. «En lugar de exigir un rescate por descifrar los datos, Twelve prefiere cifrar los datos de las víctimas y luego destruir su infraestructura con un limpiador para evitar su recuperación», dijo Kaspersky en un análisis del viernes. «El enfoque es indicativo de un deseo de causar el máximo daño a las organizaciones objetivo sin obtener un beneficio financiero directo». El grupo de piratas informáticos, que se cree que se formó en abril de 2023 tras el inicio de la guerra entre Rusia y Ucrania, tiene un historial de montar ciberataques que tienen como objetivo paralizar las redes de las víctimas e interrumpir las operaciones comerciales. También se le ha observado realizando operaciones de piratería y filtración que exfiltran información confidencial, que luego se comparte en su canal de Telegram. Kaspersky afirma que Twelve comparte infraestructuras y superposiciones tácticas con un grupo de ransomware llamado DARKSTAR (también conocido como COMET o Shadow), lo que aumenta la posibilidad de que los dos grupos de intrusos estén relacionados entre sí o formen parte del mismo grupo de actividades. «Al mismo tiempo, mientras que las acciones de Twelve son claramente de naturaleza hacktivista, DARKSTAR se apega al patrón clásico de doble extorsión», dijo el proveedor ruso de ciberseguridad. «Esta variación de objetivos dentro del sindicato subraya la complejidad y diversidad de las ciberamenazas modernas». Las cadenas de ataque comienzan con la obtención de acceso inicial mediante el abuso de cuentas locales o de dominio válidas, después de lo cual se utiliza el Protocolo de escritorio remoto (RDP) para facilitar el movimiento lateral. Algunos de estos ataques también se llevan a cabo a través de los contratistas de la víctima. «Para hacer esto, obtuvieron acceso a la infraestructura del contratista y luego usaron su certificado para conectarse a la VPN de su cliente», señaló Kaspersky. «Una vez obtenido el acceso, el adversario puede conectarse a los sistemas del cliente a través del Protocolo de escritorio remoto (RDP) y luego penetrar en la infraestructura del cliente». Entre las otras herramientas utilizadas por Twelve se destacan Cobalt Strike, Mimikatz, Chisel, BloodHound, PowerView, adPEAS, CrackMapExec, Advanced IP Scanner y PsExec para el robo de credenciales, el descubrimiento, el mapeo de redes y la escalada de privilegios. Las conexiones RDP maliciosas al sistema se tunelizan a través de ngrok. También se han implementado shells web PHP con capacidades para ejecutar comandos arbitrarios, mover archivos o enviar correos electrónicos. Estos programas, como el shell web WSO, están disponibles en GitHub. En un incidente investigado por Kaspersky, se dice que los actores de la amenaza explotaron vulnerabilidades de seguridad conocidas (por ejemplo, CVE-2021-21972 y CVE-2021-22005) en VMware vCenter para entregar un shell web que luego se utilizó para instalar una puerta trasera denominada FaceFish. «Para afianzarse en la infraestructura del dominio, el adversario utilizó PowerShell para agregar usuarios y grupos del dominio y para modificar las ACL (listas de control de acceso) para los objetos de Active Directory», dijo. «Para evitar ser detectados, los atacantes disfrazaron su malware y sus tareas bajo los nombres de productos o servicios existentes». Algunos de los nombres utilizados incluyen «Update Microsoft», «Yandex», «YandexUpdate» e «intel.exe». Los ataques también se caracterizan por el uso de un script de PowerShell («Sophos_kill_local.ps1») para finalizar los procesos relacionados con el software de seguridad de Sophos en el host comprometido. Las etapas finales implican el uso del Programador de tareas de Windows para ejecutar ransomware y cargas útiles de borrado, pero no antes de recopilar y exfiltrar información confidencial sobre sus víctimas a través de un servicio de intercambio de archivos llamado DropMeFiles en forma de archivos ZIP. «Los atacantes utilizaron una versión del popular ransomware LockBit 3.0, compilado a partir de código fuente disponible públicamente, para cifrar los datos», dijeron los investigadores de Kaspersky. «Antes de comenzar a trabajar, el ransomware finaliza los procesos que pueden interferir con el cifrado de archivos individuales». El limpiador, idéntico al malware Shamoon, reescribe el registro de arranque maestro (MBR) en las unidades conectadas y sobrescribe todo el contenido de los archivos con bytes generados aleatoriamente, lo que impide de manera efectiva la recuperación del sistema. «El grupo se apega a un arsenal de herramientas de malware disponible públicamente y familiar, lo que sugiere que no fabrica ninguna propia», señaló Kaspersky. «Esto hace posible detectar y prevenir los ataques de Twelve a su debido tiempo». ¿Le resultó interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
