Se ha desenmascarado un broker de acceso inicial no documentado anteriormente que proporciona puntos de entrada a tres actores de amenazas diferentes para montar intrusiones que van desde ataques de ransomware con motivación financiera hasta campañas de phishing.
El equipo de investigación e inteligencia de BlackBerry ha bautizado a la entidad como “Zebra2104”, siendo el grupo responsable de ofrecer un medio de aproximación digital a sindicatos de ransomware como MountLocker y Phobos, así como a la amenaza persistente avanzada (APT) rastreada bajo el apodo de StrongPity (alias Promethium).
El panorama de las amenazas, tal y como lo conocemos, está cada vez más dominado por una categoría de actores conocidos como intermediarios de acceso inicial (IAB), que son conocidos por proporcionar a otros grupos cibercriminales, incluidos los afiliados al ransomware, un punto de acceso a un conjunto infinito de organizaciones potenciales pertenecientes a diversas geografías y sectores a través de puertas traseras persistentes en las redes de las víctimas, construyendo efectivamente un modelo de precios para el acceso remoto.
Un análisis de agosto de 2021 de más de 1.000 listados de acceso anunciados a la venta por los IABs en foros clandestinos de la dark web encontró que el coste medio del acceso a la red era de 5.400 dólares para el período de julio de 2020 a junio de 2021, con las ofertas más valiosas incluyendo privilegios de administrador de dominio a los sistemas de la empresa.
La investigación de la compañía canadiense de ciberseguridad comenzó con un dominio llamado “trashborting[.]com” que se encontró entregando Cobalt Strike Beacons, usándolo para vincular la infraestructura más amplia a una serie de campañas de malspam que resultaron en la entrega de cargas útiles de ransomware, algunas de las cuales se dirigieron a compañías inmobiliarias australianas y departamentos gubernamentales estatales en septiembre de 2020.
Además, se descubrió que “supercombinating[.]com”, otro dominio hermano registrado junto a trashborting[.]com, estaba conectado a la actividad maliciosa de MountLocker y Phobos, incluso cuando el dominio se resolvía a una dirección IP “91.92.109[.]174”, que, a su vez, también se utilizó para alojar un tercer dominio “mentiononecommon[.]com” entre abril y noviembre de 2020 y se utilizó como servidor de mando y control en una campaña de junio de 2020 asociada a StrongPity.
Los solapamientos y la amplia selección de objetivos de la IAB también han llevado a los investigadores a creer que el operador “o bien tiene mucha mano de obra o bien ha establecido algunas grandes trampas ‘ocultas a plena vista’ a través de Internet”, lo que permite a MountLocker, Phobos y StrongPity acceder a las redes objetivo.
Con información de The Hacker News.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian