Microsoft comparte datos de amenaza PonyFinal, advierte de …


PonyFinal se implementa en ataques de ransomware operados por humanos, en los que los adversarios adaptan sus técnicas en función del conocimiento de un sistema objetivo.

Microsoft compartió hoy datos de amenazas recopilados en PonyFinal, un ransomware basado en Java implementado en campañas de ransomware operadas por humanos. En este tipo de ataques, los adversarios hacen su tarea y eligen una estrategia y una carga útil basada en el entorno de la organización objetivo.

El ransomware operado por humanos no es nuevo, pero se ha vuelto preferred a medida que los atacantes intentan maximizar el rescate de las víctimas individuales. Otras campañas conocidas de ransomware operadas por humanos incluyen Bitpaymer, Ryuk, REvil y Samas. Microsoft comenzó a ver PonyFinal a principios de abril, dice Phillip Misner, director de investigación de Microsoft Danger Protection.

«Estas son todas variaciones del mismo tipo de amenaza grave que enfrentan los clientes en este momento», explica. Los atacantes emplean el robo de credenciales y el movimiento lateral para obtener más información sobre el negocio. «En última instancia, después de que hayan pasado y entendido el medio ambiente, desplegarán ransomware de la elección de los atacantes que coincida más estrechamente con el entorno que han observado con el tiempo».

Los ataques PonyFinal generalmente comienzan de una de dos maneras. Se ha visto que los atacantes obtienen acceso a través de ataques de fuerza bruta contra el servidor de administración de sistemas de un objetivo, escribió Microsoft Protection Intelligence en una serie de tweets. Implementan un VBScript para ejecutar un shell inverso de PowerShell para realizar volcados de datos, y también un sistema de manipulador remoto para evitar el registro de eventos. Los atacantes también han explotado fallas no parcheadas o servicios dirigidos vulnerables a World-wide-web.

En algunos casos, los atacantes implementan Java Runtime Ecosystem (JRE), que el ransomware basado en Java necesita para ejecutarse. Sin embargo, según los expertos, la evidencia indica que los atacantes usan datos robados del servidor de administración de sistemas para apuntar a los puntos finales que tienen instalado JRE. Misner dice que estos tipos de atacantes son cuidadosos en sus operaciones e intentan evitar la detección siempre que sea posible. Si JRE ya está en una máquina, pueden operar sin generar alertas.

«A menudo, las personas que están viendo el ransomware PonyFinal, ya tenían Java en sus entornos, por lo que los atacantes lo usan para permanecer lo más sigiloso posible», explica.

El ransomware se entrega a través de un archivo MSI que contiene dos archivos por lotes y la carga útil del ransomware. Las investigaciones de Microsoft muestran que PonyFinal encripta archivos en una fecha y hora específicas. Los archivos cifrados tienen una extensión de archivo .enc y la nota de rescate es un easy archivo de texto, dicen.

PonyFinal se despliega al last de campañas prolongadas operadas por humanos, en las que los atacantes generalmente permanecen inactivos y esperan el momento más oportuno para atacar. En las campañas de PonyFinal de abril, el período entre el compromiso inicial y el rescate varió de varios meses a una semana, señala Misner.

Los operadores detrás de PonyFinal no son nuevos, continúa. Esta es la carga útil más nueva que los investigadores han visto en este tipo de campañas de ransomware. El ransomware operado por humanos a menudo está vinculado a múltiples grupos criminales y rara vez es exclusivo de un solo grupo de atacantes. Misner agrega que puede haber varios grupos de ataque usando esta misma forma de ransomware.

Dicho esto, este es probablemente el trabajo de un grupo avanzado. «Al igual que todas estas campañas de ransomware operadas por humanos, este es un corte por encima de su organización felony ordinary», dice Misner. Estos son atacantes con la capacidad de elegir múltiples cargas útiles y que dedican su tiempo a investigar para ver cómo pueden extraer la mayor cantidad de dinero de los compromisos que hacen.

Estos operadores de ransomware no discriminan al decidir a quién golpear. «Estos atacantes están buscando objetivos de oportunidad», explica. Si bien no hay un señuelo COVID-19 en estas campañas, los investigadores han notado que los operadores de PonyFinal van a donde podrían estar más efectivo en la extracción de rescate en medio del caos de la pandemia de coronavirus.

Una amenaza para mirar
El ransomware operado por humanos no es como el típico malware automatizado, en el que el atacante intenta que alguien haga clic en un ejecutable. Estas campañas utilizan medios activos para encontrar su vector de entrada inicial, ya sea en torno a conexiones de escritorio remotas o servicios inseguros orientados a Internet. Este componente humano exige que las víctimas potenciales tomen medidas inmediatas.

«Hay un humano al otro lado de eso … revisando y dirigiendo lo que el ransomware realmente se implementa en la crimson», explica Misner. «La inmediatez de tener un adversario que es básicamente uno a uno atacando a un cliente es lo que debería generar la preocupación y el riesgo aquí». Él cree que vamos a ver un aumento en este tipo de ataques.

Para defenderse contra el ransomware operado por humanos, Microsoft aconseja endurecer los activos orientados a Online y garantizar que tengan las últimas actualizaciones de seguridad. La gestión de amenazas y vulnerabilidades se debe utilizar para auditar los activos en busca de vulnerabilidades y configuraciones erróneas. Los expertos recomiendan adoptar el principio de privilegio mínimo y evitar el uso de cuentas de servicio de nivel de administrador en todo el dominio.

Las empresas deben monitorear los intentos de fuerza bruta y verificar los intentos excesivos de autenticación fallida. También deben estar atentos a la eliminación de los registros de eventos, especialmente el registro de eventos de seguridad y los registros operativos de PowerShell.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de individual de Dim Looking through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia first