Estos piratas informáticos están difundiendo ransomware como una distracción, para ocultar su ciberespionaje.

Un grupo de posibles atacantes cibernéticos respaldados por el estado ha adoptado un nuevo cargador para difundir cinco tipos diferentes de ransomware en un intento por ocultar sus verdaderas actividades de espionaje.

El jueves, los investigadores de ciberseguridad de Secureworks publicaron nueva investigación en HUI Loader, una herramienta maliciosa que los delincuentes han utilizado ampliamente desde 2015.

Los cargadores son pequeños paquetes maliciosos diseñados para pasar desapercibidos en una máquina comprometida. Si bien a menudo carecen de mucha funcionalidad como malware independiente, tienen una tarea crucial: cargar y ejecutar cargas útiles maliciosas adicionales.

VER: Pandilla de phishing que robó millones atrayendo a las víctimas a sitios web de bancos falsos es disuelta por la policía

Cargador HUI es un cargador de DLL personalizado que puede ser implementado por programas de software legítimos secuestrados susceptibles de secuestro de orden de búsqueda de DLL. Una vez ejecutado, el cargador desplegará y descifrará un archivo que contiene la carga principal del malware.

En el pasado, HUI Loader se usaba en campañas de grupos que incluían APT10/ribera de bronce – conectado al Ministerio de Seguridad del Estado de China (MSS) – y termita azul. Los grupos han implementado troyanos de acceso remoto (RAT), incluidos SodaMaster, PlugX y QuasarRAT en campañas anteriores.

Ahora, parece que el cargador se ha adaptado para propagar ransomware.

Según el equipo de investigación de la Unidad de Contraamenazas (CTU) de Secureworks, dos grupos de actividad relacionados con HUI Loader se han conectado con actores de amenazas de habla china.

Se sospecha que el primer grupo es obra de Bronze Riverside. Este grupo de hackers se enfoca en robar propiedad intelectual valiosa de organizaciones japonesas y usa el cargador para ejecutar SodaMaster RAT.

El segundo, sin embargo, pertenece a Bronze Starlight. SecureWorks cree que las actividades de los actores de amenazas también están diseñadas para el robo de IP y el espionaje cibernético.

Los objetivos varían según la información que los ciberdelincuentes estén tratando de obtener. Las víctimas incluyen compañías farmacéuticas brasileñas, un medio de comunicación estadounidense, fabricantes japoneses y la división aeroespacial y de defensa de una importante organización india.

VER: Ataques de ransomware: estos son los datos que los ciberdelincuentes realmente quieren robar

Este grupo es el más interesante de los dos, ya que implementan cinco tipos diferentes de ransomware posteriores a la explotación: LockFile, AtomSilo, Rook, Night Sky y Pandora. El cargador se usa para implementar balizas Cobalt Strike durante las campañas, que crean una conexión remota y luego se ejecuta un paquete de ransomware.

CTU dice que los actores de amenazas han desarrollado sus versiones del ransomware a partir de dos bases de código distintas: una para LockFile y AtomSilo, y la otra para Rook, Night Sky y Pandora.

“Según el orden en que aparecieron estas familias de ransomware a partir de mediados de 2021, es probable que los actores de amenazas primero desarrollaron LockFile y AtomSilo y luego desarrollaron Rook, Night Sky y Pandora”, dice el equipo.

Avast ha lanzado un descifrador para LockFile y AtomSilo. Cuando se trata de las otras variantes de ransomware, parece que todas se basan en el código fuente de Babuk.

El cargador también se ha actualizado recientemente. En marzo, los investigadores de ciberseguridad encontraron una nueva versión de HUI Loader que utiliza cifrados RC4 para descifrar la carga útil. El cargador ahora también utiliza un código de ofuscación mejorado para intentar deshabilitar el seguimiento de eventos de Windows para Windows (ETW), las verificaciones de la interfaz de escaneo antimalware (AMSI) y manipular las llamadas a la API de Windows.

“Si bien los grupos patrocinados por el gobierno chino históricamente no han usado ransomware, existe un precedente en otros países”, dice SecureWorks. “Por el contrario, los grupos patrocinados por el gobierno chino que usan ransomware como una distracción probablemente harían que la actividad se pareciera a implementaciones de ransomware motivadas financieramente. Sin embargo, la combinación de victimología y la superposición con la infraestructura y las herramientas asociadas con la actividad de grupos de amenazas patrocinados por el gobierno indican que Bronze Starlight puede implementar ransomware para ocultar su actividad de ciberespionaje”.

Cobertura previa y relacionada

¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en + 447713 025 499, o más en Keybase: charlie0