Los investigadores de amenazas de WithSecure han revelado información sobre cómo las bandas de delincuentes cibernéticos están compartiendo herramientas a lo largo de las históricas Rutas de la Seda de Eurasia, después de encontrar una herramienta que se sabe que fue desarrollada por ciberdelincuentes chinos y que está siendo adoptada con entusiasmo entre los operadores de ransomware de habla rusa.
La herramienta, rastreada por el equipo de investigación como Silkloader, es un cargador de balizas que aprovecha la carga lateral de la biblioteca de enlaces dinámicos (DLL), explotando el VLC Media Player legítimo para cargar y lanzar el comando y control Cobalt Strike de código abierto (C2) framework, un elemento básico confiable en la mayoría de los arsenales de delincuentes cibernéticos, a los sistemas de sus víctimas.
Parece haber sido construido específicamente para ocultar las balizas de Cobalt Strike. Esto es algo útil para poder hacer, como explicó el investigador de WithSecure Mohammad Kazem Hassan Najad, quien trabajó en la investigación junto con sus colegas Bert Steppé y Neeraj Singh.
“Las balizas Cobalt Strike son muy conocidas y las detecciones contra ellas en una máquina bien protegida están casi garantizadas”, dijo. “Sin embargo, al agregar capas adicionales de complejidad al contenido del archivo y ejecutarlo a través de una aplicación conocida como VLC Media Player a través de la carga lateral, los atacantes esperan evadir estos mecanismos de defensa”.
El equipo observó por primera vez que se usó el año pasado, cuando fue desplegado exclusivamente por actores chinos motivados financieramente contra objetivos en el este de Asia, principalmente China y Hong Kong. Sin embargo, esta campaña de actividad delictiva cibernética disminuyó y se detuvo en julio de 2022.
Luego, hacia fines de año, WithSecure detectó una serie de intrusiones cibernéticas operadas por humanos en varias organizaciones.
La primera intrusión observada tuvo lugar en Francia, con el objetivo de una organización de bienestar social en la que el actor de amenazas obtuvo acceso inicial a través de una vulnerabilidad en una VPN SSL de Fortinet y usó este acceso para lanzar balizas Cobalt Strike. Esto se desarrolló durante un largo período.
Al ser detectado por la tecnología Elements de WithSecure, el actor de amenazas giró e intentó lanzar otra baliza Cobalt Strike usando Silkloader. Este ataque se contuvo con éxito, al igual que otros, pero es casi seguro que fueron las etapas iniciales de un ataque de ransomware.
Un análisis más profundo de las tácticas, técnicas y procedimientos (TTP) del actor de amenazas, en particular el uso de las vulnerabilidades de Fortinet para obtener acceso inicial, llevó al equipo de WithSecure a la evaluación de que los ataques probablemente estaban vinculados a los operadores del ransomware Play.
Llamado así por la extensión .play que agrega a los archivos cifrados, Play surgió en 2022 y probablemente esté estrechamente relacionado con la extinta operación Hive, que fue interrumpida con éxito por el FBI en enero de 2023. Estuvo detrás del reciente ataque de ransomware en Glasgow. el concesionario de automóviles Arnold Clark, así como el infame incidente de diciembre de 2022 en Rackspace, que interrumpió los servicios alojados para miles.
Si bien la adopción de Silkloader por parte de un cártel de ransomware de habla rusa puede parecer una curiosidad cibernética interesante, también sirve como una valiosa perspectiva del comercio delictivo cibernético, que revela cómo se adquieren o comparten las herramientas entre grupos y fortalece los vínculos entre ellos.
En este caso, dijo Hassan Nejad, es probable que su operador chino, que incluso podría haber sido un programador independiente, se lo haya vendido a un actor ruso. Sugirió que era muy probable que alguien estuviera estrechamente relacionado con la también desaparecida operación Conti: Hive en particular fue utilizada con gran entusiasmo por un actor conocido como UNC2727, Gold Ulrick o Wizard Spider, que es la antigua operación Conti que afectó al Servicio de Salud de Irlanda. Ejecutivo (HSE) en 2021.
“Creemos que Silkloader se distribuye actualmente dentro del ecosistema ruso de delitos cibernéticos como un cargador listo para usar a través de un programa de empaquetado como servicio para grupos de ransomware, o posiblemente a través de grupos que ofrecen Cobalt Strike/infraestructura como servicio a afiliados de confianza. ”, dijo Hassan Nejad.
Contrarrestar los delitos cibernéticos motivados financieramente
La aparente disponibilidad de Silkloader en función del servicio también destaca lo desafiante que puede ser contrarrestar el ciberdelito con fines financieros, dijo Paolo Palumbo, vicepresidente de WithSecure Intelligence.
“Los atacantes están utilizando la industria del crimen cibernético para adquirir nuevas capacidades y tecnologías para que puedan adaptar rápidamente sus operaciones para las defensas de sus objetivos”, dijo. “Eso nos dificulta asociar recursos con un grupo o modo de operaciones en particular.
“Por otro lado, este intercambio de infraestructura nos ofrece un multiplicador de fuerza defensiva a través del cual podemos defendernos contra varios grupos a la vez mediante la creación de estrategias para contrarrestar los recursos que comparten”, dijo Palumbo.