Estos piratas informáticos están difundiendo ransomware como una distracción, para ocultar su ciberespionaje.

Imagen: Shutterstock / BLACKDAY Un grupo de posibles atacantes cibernéticos respaldados por el estado ha adoptado un nuevo cargador para difundir cinco tipos diferentes de ransomware en un intento por ocultar sus verdaderas actividades de espionaje. El jueves, los investigadores de ciberseguridad de Secureworks publicaron una nueva investigación sobre HUI Loader, una herramienta maliciosa que los delincuentes han utilizado ampliamente desde 2015. Seguridad Ciberseguridad 101: Proteja su privacidad de piratas informáticos, espías y el gobierno Unos simples pasos pueden marcar la diferencia entre perder sus cuentas en línea o mantener lo que ahora es un bien preciado: su privacidad.
Leer ahora Los cargadores son pequeños paquetes maliciosos diseñados para pasar desapercibidos en una máquina comprometida. Si bien a menudo carecen de mucha funcionalidad como malware independiente, tienen una tarea crucial: cargar y ejecutar cargas útiles maliciosas adicionales. VER: Pandilla de phishing que robó millones atrayendo a las víctimas a sitios web de bancos falsos es disuelta por la policía HUI Loader es un cargador de DLL personalizado que puede ser implementado por programas de software legítimos secuestrados susceptibles de secuestro de órdenes de búsqueda de DLL.
Una vez ejecutado, el cargador implementará y descifrará un archivo que contiene la carga principal de malware. En el pasado, HUI Loader se utilizó en campañas de grupos como APT10/Bronze Riverside, conectado con el Ministerio de Seguridad del Estado (MSS) de China, y Blue Termite. Los grupos han implementado troyanos de acceso remoto (RAT), incluidos SodaMaster, PlugX y QuasarRAT en campañas anteriores.
Ahora, parece que el cargador se ha adaptado para propagar ransomware. Según el equipo de investigación de la Unidad de Contraamenazas (CTU) de Secureworks, dos grupos de actividad relacionados con HUI Loader se han conectado con actores de amenazas de habla china. Se sospecha que el primer grupo es obra de Bronze Riverside.
Este grupo de piratas informáticos se centra en robar propiedad intelectual valiosa de organizaciones japonesas y utiliza el cargador para ejecutar SodaMaster RAT. El segundo, sin embargo, pertenece a Bronze Starlight. SecureWorks cree que las actividades de los actores de amenazas también están diseñadas para el robo de IP y el espionaje cibernético.
Los objetivos varían según la información que los ciberdelincuentes estén tratando de obtener. Las víctimas incluyen compañías farmacéuticas brasileñas, un medio de comunicación estadounidense, fabricantes japoneses y la división aeroespacial y de defensa de una importante organización india. VER:  Ataques de ransomware: estos son los datos que los ciberdelincuentes realmente quieren robar Este grupo es el más interesante de los dos, ya que implementan cinco tipos diferentes de ransomware posteriores a la explotación: LockFile, AtomSilo, Rook, Night Sky y Pandora.
El cargador se usa para implementar balizas Cobalt Strike durante las campañas, que crea una conexión remota y luego se ejecuta un paquete de ransomware. CTU dice que los actores de amenazas han desarrollado sus versiones del ransomware a partir de dos bases de código distintas: una para LockFile y AtomSilo, y la otra para Rook, Night Sky y Pandora. "Según el orden en que aparecieron estas familias de ransomware a partir de mediados de 2021, es probable que los actores de amenazas desarrollaran primero LockFile y AtomSilo y luego desarrollaran Rook, Night Sky y Pandora", dice el equipo.
Avast ha lanzado un descifrador para LockFile y AtomSilo. Cuando se trata de las otras variantes de ransomware, parece que todas se basan en el código fuente de Babuk. El cargador también se actualizó recientemente.
En marzo, los investigadores de ciberseguridad encontraron una nueva versión de HUI Loader que utiliza cifrados RC4 para descifrar la carga útil. El cargador ahora también utiliza un código de ofuscación mejorado para intentar deshabilitar el seguimiento de eventos de Windows para Windows (ETW), las verificaciones de la interfaz de escaneo antimalware (AMSI) y manipular las llamadas a la API de Windows. "Si bien los grupos patrocinados por el gobierno chino históricamente no han usado ransomware, existe un precedente en otros países", dice SecureWorks.
"Por el contrario, los grupos patrocinados por el gobierno chino que usan ransomware como una distracción probablemente harían que la actividad se pareciera a implementaciones de ransomware motivadas financieramente Sin embargo, la combinación de victimología y la superposición con la infraestructura y las herramientas asociadas con la actividad de grupos de amenazas patrocinados por el gobierno indican que Bronze Starlight puede implementar ransomware para ocultar su actividad de ciberespionaje". ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0 Seguridad Cómo cifrar su correo electrónico (y por qué debería hacerlo) 5 cosas que probablemente esté haciendo mal para proteger su nube Cómo detener rápidamente los mensajes de spam en tu iPhone Las mejores VPN para Android: ¿cuál es la adecuada para ti? Cómo borrarse de los resultados de búsqueda y ocultar su identidad en línea.