Nuevo grupo de amenazas que realiza ransomware agresivo …



UNC2447 observó una vulnerabilidad de ataque ahora parcheada en SonicWall VPN.

Los investigadores de FireEye Mandiant han observado lo que describen como un nuevo y agresivo grupo de amenazas que explota una falla de día cero recientemente parcheada en la tecnología de pink privada digital (VPN) de SonicWall para eliminar el ransomware llamado Fivehands en las redes empresariales.

El grupo, que Mandiant rastrea como UNC2447, ha estado intentando extorsionar a las víctimas tanto con el ransomware como con el robo de datos y amenazando con filtrarlos en foros de piratas informáticos, como muchos otros operadores de ransomware recientemente. Las víctimas del grupo, principalmente en los EE. UU. Y Europa, incluyen organizaciones de múltiples industrias, como telecomunicaciones, atención médica, construcción e ingeniería, alimentos y bebidas y educación.

Tyler McLellan, analista principal de amenazas para prácticas avanzadas en Mandiant, dice que la compañía no está segura de cuántos dispositivos VPN de SonicWall permanecen sin parchear. CVE ‑ 2021‑20016, una vulnerabilidad crítica de inyección SQL en los productos de acceso remoto de la serie Secure Cellular Obtain SMA 100 de SonicWall. SonicWall emitió un parche para la falla, que es la que apunta UNC2447, en febrero de 2021.

«Si bien no tenemos números de dispositivos sin parches, Mandiant sabe que los actores de amenazas relacionados con UNC2447 todavía están en posesión de credenciales robadas de más de 100 dispositivos VPN», dice McLellan. «Estas organizaciones afectadas seguirán en riesgo de sufrir un ataque de ransomware incluso si se les aplica un parche, a menos que habiliten la autenticación multifactor o restablezcan todas las contraseñas».

Mandiant observado por primera vez signos de actividad UNC2447 en noviembre de 2020, cuando descubrió que se estaba utilizando un cuentagotas PowerShell llamado Warprism para instalar Cobalt Strike Beacon en sistemas que pertenecen a dos de sus clientes. En enero y febrero, Mandiant vio al actor de amenazas que usaba SombRAT, una puerta trasera empaquetada como un ejecutable de Home windows, para implementar el ransomware Fivehands en múltiples redes de víctimas.

BlackBerry Cylance fue el primero en detectar SombRAT en diciembre pasado. McClellan dice que desde entonces, Mandiant ha observado que solo UNC2447 lo united states of america y solo para implementar Fivehands. Según Mandiant, SombRAT es una herramienta especialmente sofisticada diseñada principalmente para descargar y ejecutar complementos desde un servidor de comando y manage. La puerta trasera admite docenas de comandos e incluye múltiples funciones y mecanismos anti-detección para ofuscarse.

Los informes anteriores de BlackBerry sugieren que SombRAT podría ser una sofisticada herramienta de ciberespionaje mercenario. Su uso durante múltiples intrusiones de ransomware es inusual y digno de mención, dice McClellan.

La herramienta de ransomware Fivehands en sí no es especialmente diferente de otras de este tipo. Parece ser una reescritura de una herramienta de ransomware anterior llamada Deathransom. Comparte algunas similitudes con HelloKitty, otro derivado de Deathransom. UNC2447 parece haber comenzado a usar Fivehands solo desde principios de este año. Antes de eso, el actor de amenazas parece haber estado usando HelloKitty, dijo Mandiant en su informe.

Fivehands está optimizado para ser sustancialmente más rápido que HelloKitty, señala McLellan. «(Ha) agregado una función para aceptar una opción de línea de comando para limitar el cifrado a una carpeta determinada», dice. «Estas mejoras podrían permitir a un operador de rescate de Fivehands apuntar más rápidamente a los datos importantes de una víctima para lograr el máximo impacto».

Si bien Fivehands en sí no es particularmente digno de mención, el lanzador cifrado que united states of america es muy inusual porque united states of america una contraseña de línea de comando para descifrar y cargar el ransomware en la memoria, dice McClellan. «Incluso si el actor dejara el ejecutable del lanzador en el disco, sería casi imposible descifrar la contraseña para permitir que la víctima identificara la cepa de ransomware utilizada en su contra».

Mandiant dice que ha observado que UNC2447 usa múltiples herramientas y utilidades legítimas y de doble uso, incluidas Adfind, Bloodhound, Mimikatz, PChunter y RCLONE.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first