El troyano de acceso remoto ahora se dirige a las escuelas con ransomware


Apodado ChaChi por los investigadores de BlackBerry, el RAT ha cambiado recientemente su enfoque de las agencias gubernamentales a las escuelas en los EE. UU.

caballo de Troya

Imagen: IvonneW, Getty Visuals / iStockPhoto

Un troyano de acceso remoto tiene como objetivo escuelas y universidades con ataques de ransomware. Bautizado como ChaChi por el equipo de BlackBerry Menace Study and Intelligence SPEAR, el RAT está siendo utilizado por los operadores del ransomware PYSA, según un informe publicado por BlackBerry el miércoles. Específicamente, se ha descubierto ChaChi en violaciones de datos de escuelas K-12 e instalaciones de educación exceptional en los EE. UU. Y el Reino Unido.

VER: Informe especial: Una estrategia ganadora para la ciberseguridad (PDF gratuito) (TechRepublic)

ChaChi está diseñado para exfiltrar datos, robar credenciales e implementar malware para comprometer a sus víctimas. La RAT se afianza en una organización a través de una serie de pasos.

Los scripts de PowerShell se utilizan para desinstalar o deshabilitar antivirus y otros servicios de seguridad. Las credenciales de la cuenta se capturan volcando el contenido de la memoria del Servicio del subsistema de autoridad de seguridad regional de Windows. El escaneo de puertos se usa para buscar puertos vulnerables o abiertos. Luego, ChaChi se instala como un servicio.

Los atacantes obtienen movimiento lateral en toda la red utilizando herramientas como el Protocolo de escritorio remoto y PsExec. Es possible que los datos se extraigan a través de un túnel creado por ChaChi. Luego, la RAT se comunica con el centro de comando y regulate de los atacantes.

Inicialmente detectada durante la primera mitad de 2020 sin mucho alboroto, la primera variante de ChaChi se utilizó para atacar redes de agencias gubernamentales en Francia y fue considerada un indicador de compromiso por CERT France, dijo BlackBerry. PYSA y ChaChi luego cambiaron los objetivos a las organizaciones de atención médica y las empresas privadas antes de centrarse en las instituciones educativas a partir de principios de 2021.

ChaChi está escrito en Go, también conocido como Golang, un lenguaje de programación bastante nuevo. Debido a que Go aún está actualizado, analizar el código puede ser difícil, lo que crea desafíos para los investigadores de seguridad.

Los ciberdelincuentes a menudo se dirigen a las escuelas porque saben que están listas para ser atacadas. Las escuelas pueden carecer de los presupuestos necesarios para una sólida protección de seguridad. No necesariamente pueden ejercer los estrictos controles de seguridad adoptados por las grandes empresas. Y tienen que lidiar con estudiantes y otras personas que se conectan a sus redes desde dispositivos externos que pueden no ser seguros.

«Los ataques de ciberseguridad han aumentado en volumen y ferocidad desde que comenzó la pandemia de COVID-19 hace un año», dijo a TechRepublic el vicepresidente de investigación e inteligencia de BlackBerry, Eric Milam. «Esto incluye que ChaChi y PYSA cambien su enfoque para aprovechar la pandemia de COVID y atacar a las instituciones educativas. Muchas universidades se ven obligadas a actuar como ISP para su alumnado, lo que agrega una capa de complejidad ya que están restringidas en qué límites y monitoreo se pueden implementar opciones en comparación con otras organizaciones «.

Recomendaciones

Para proteger a las escuelas y universidades de los ciberataques, Milam ofrece varios consejos.

  • Entrenamiento de usuario. Realice una capacitación de concienciación del usuario sobre los ataques de phishing y los enlaces y archivos adjuntos sospechosos en los correos electrónicos para combatir la amenaza a nivel humano.
  • Actualice sus sistemas. A nivel tecnológico, asegúrese de parchear sus sistemas operativos y aplicaciones e implementar tecnología de protección de endpoints.
  • Supervisar y auditar. Para áreas más sensibles de un entorno universitario, configure la auditoría, el registro y la supervisión de la actividad de la pink y los puntos finales. Además, supervise el uso de credenciales de cuentas críticas.
  • Verifique las debilidades. La ejecución de evaluaciones de vulnerabilidad y pruebas de penetración detalladas puede ayudar a rastrear vulnerabilidades críticas que deben mitigarse.

«El enfoque principal aquí es cuán essential es asegurar un ambiente a un nivel apropiado y poner los controles y contrapesos correctos para identificar cualquier anomalía», dijo Milam.

«Si ha construido una infraestructura interna segura, se evita el acceso a otros recursos críticos, incluso si ciertas áreas de la crimson deben tener un acceso relativamente libre», agregó Milam. «Si bien puede ser difícil combatir una brecha en el punto de acceso, las organizaciones pueden tomar medidas para hacer que los sistemas sean mucho más difíciles de comprometer y más defendibles cuando son atacados, así como resistentes y recuperables cuando los ataques tienen éxito».

Ver también



Enlace a la noticia primary