LeakNet Ransomware

La operación de ransomware conocida como LeakNet ha adoptado el Haga clic en Fijar táctica de ingeniería social entregada a través de sitios web comprometidos como método de acceso inicial.

El uso de ClickFix, en el que se engaña a los usuarios para que ejecuten manualmente comandos maliciosos para corregir errores inexistentes, supone un alejamiento de la confianza en los métodos tradicionales para obtener el acceso inicial, como el robo de credenciales adquiridas de agentes de acceso inicial (IAB), ReliaQuest dijo en un informe técnico publicado hoy.

El segundo aspecto importante de estos ataques es el uso de un cargador de comando y control (C2) por etapas integrado en el tiempo de ejecución de JavaScript de Deno para ejecutar cargas maliciosas directamente en la memoria.

«La conclusión clave aquí es que ambas rutas de entrada conducen a la misma secuencia repetible posterior a la explotación en todo momento», dijo la empresa de ciberseguridad. «Esto brinda a los defensores algo concreto con lo que trabajar: comportamientos conocidos que se pueden detectar e interrumpir en cada etapa, mucho antes del lanzamiento del ransomware, independientemente de cómo haya llegado LeakNet».

adsense

LeakNet surgió por primera vez en noviembre de 2024 , describiendo en sí misma como un «organismo de control digital» y enmarca sus actividades como centradas en la libertad y la transparencia de Internet. Según los datos capturados por Dragos , el grupo también ha dirigido entidades industriales.

El uso de ClickFix para atacar a las víctimas ofrece varias ventajas, la más importante de las cuales es que reduce la dependencia de proveedores externos, reduce el costo de adquisición por víctima y elimina el obstáculo operativo que supone esperar a que las cuentas valiosas salgan al mercado.

En estos ataques, los sitios legítimos pero comprometidos se utilizan para realizar comprobaciones de CAPTCHA falsas que indican a los usuarios que copien y peguen un comando "msiexec.exe" en el cuadro de diálogo Ejecutar de Windows. Los ataques no se limitan a un sector industrial específico, sino que abarcan una amplia red para infectar al mayor número posible de víctimas.

El desarrollo se produce a medida que más actores de amenazas están adoptando el manual de estrategias de ClickFix, que abusa de los flujos de trabajo cotidianos confiables para incitar a los usuarios a ejecutar comandos no autorizados a través de herramientas legítimas de Windows de una manera rutinaria y segura.

«La adopción de ClickFix por parte de LeakNet marca la primera expansión documentada de la capacidad de acceso inicial del grupo y un cambio estratégico significativo», afirma ReliaQuest.

«Al alejarse de los IAB, LeakNet elimina una dependencia que, naturalmente, limitaba la rapidez y amplitud de su funcionamiento. Además, dado que ClickFix se distribuye a través de sitios web legítimos, aunque peligrosos, no presenta las mismas señales evidentes en la capa de red que la infraestructura propiedad del atacante».

Además del uso de ClickFix para iniciar la cadena de ataque, se evalúa que LeakNet utiliza un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria a fin de minimizar las pruebas en el disco y evitar la detección. La carga útil está diseñada para tomar las huellas dactilares del sistema infectado, contactar con un servidor externo para buscar malware de última generación y entrar en un ciclo de sondeo que busca y ejecuta código adicional de forma repetida a través de Deno.

Por otra parte, ReliaQuest dijo que también observó un intento de intrusión en el que los actores de amenazas utilizaron el phishing basado en Microsoft Teams para diseñar socialmente a un usuario para que lanzara una cadena de carga útil que terminaba en un cargador similar basado en Deno. Si bien la actividad sigue sin atribuirse a nadie, el uso del enfoque Bring Your Own Runtime (BYOR) es una señal de una ampliación de los vectores de acceso iniciales de LeakNet o de que otros actores de amenazas han adoptado esta técnica.

La actividad posterior al compromiso de LeakNet sigue una metodología coherente: comienza con el uso de la carga lateral de las DLL para lanzar una DLL maliciosa que se entrega a través del cargador, seguida de un movimiento lateral mediante PsExec, la exfiltración de datos y el cifrado.

«LeakNet ejecuta cmd.exe /c klist, un comando integrado de Windows que muestra las credenciales de autenticación activas en el sistema comprometido. Esto indica al atacante a qué cuentas y servicios ya se puede acceder sin necesidad de solicitar nuevas credenciales, para que pueda actuar con mayor rapidez y de forma más deliberada», afirma ReliaQuest.

«Para la puesta en escena y la exfiltración, LeakNet utiliza cubos S3 y aprovecha la apariencia del tráfico normal en la nube para reducir su huella de detección».

enlaces

La noticia se produce cuando Google reveló que Qilin (también conocida como Agenda), Akira (también conocida como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (también conocida como FireFlame y FuryStorm) y Sinobi se convirtieron en las 10 principales marcas de ransomware con el mayor número de víctimas denunciadas en sus sitios de filtración de datos.

«En un tercio de los incidentes, se confirmó el vector de acceso inicial o se sospechó la explotación de vulnerabilidades, la mayoría de las veces en las VPN y firewalls comunes», dijo Google Threat Intelligence Group (GTIG) dijo , añadiendo que el 77% de las intrusiones de ransomware analizadas incluían sospechas de robo de datos, lo que representa un aumento con respecto al 57% registrado en 2024.

«A pesar de la continua agitación causada por los conflictos y las perturbaciones entre actores, los actores del ransomware siguen muy motivados y el ecosistema de extorsión demuestra una resiliencia continua. Varios indicadores sugieren que Sin embargo, la rentabilidad general de estas operaciones está disminuyendo, y al menos algunos actores de amenazas están desviando su estrategia de segmentación de las grandes empresas para centrarse en los ataques de mayor volumen contra las organizaciones más pequeñas».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.