El especialista en inteligencia de amenazas Recorded Future ha revelado detalles de cómo ahora puede encontrar (y alertar) a futuras víctimas de la banda de ransomware Rhysida antes de que tenga la oportunidad de implementar su casillero de ransomware.
Rhysida, quizás más famosa en el Reino Unido por el ataque de finales de 2023 a la Biblioteca Británica, ha estado activa desde aproximadamente enero de 2023 y opera una operación estándar de doble extorsión y ransomware como servicio. Opera en diversos sectores, aunque parece haber preferido apuntar a organizaciones de educación y salud.
Ahora, una nueva técnica de detección temprana desarrollada en Recorded Future puede resultar un potencial punto de inflexión en la lucha contra el ransomware, afirmó el equipo de investigación interno de Insikt Group de la organización.
“Insikt Group identificó que las víctimas de Rhysida podían ser detectadas en promedio 30 días antes de aparecer en sitios públicos de extorsión. El monitoreo de la infraestructura de Rhysida… hizo posible esta detección”, escribieron.
“El tiempo medio de permanencia entre la infección inicial y la implementación del ransomware ofrece a los defensores una ventana crítica para responder. Identificando las comunicaciones de red y otros indicadores de compromiso. [IoCs] Desde el principio, los equipos de seguridad pueden actuar rápidamente para neutralizar las amenazas antes de que los atacantes puedan cifrar los datos o emitir demandas de rescate”.
Anatomía de un ataque de Rhysida
Rhysida utiliza una infraestructura de varios niveles para facilitar sus ataques: crea dominios tipográficos mejorados con técnicas de envenenamiento de SEO para engañar a los objetivos para que visiten un servidor de carga útil que aloja un malware de puerta trasera conocido como CleanUpLoader.
CleanUpLoader, una puerta trasera particularmente versátil, generalmente se entrega como un instalador falso para un software legítimo; Google Chrome y Microsoft Teams son muy favorecidos en este sentido porque se usan tan ampliamente que es probable que más personas hagan clic en ellos.
Una vez operativo en el sistema objetivo, CleanUpLoader sirve para facilitar la persistencia (con múltiples dominios de comando y control (C2) incluidos en su configuración, puede conmutar rápidamente por error a otro en caso de que uno se desconecte o se vea comprometido) y le da tiempo a Rhysida para exfiltrar el sistema objetivo. datos.
La pandilla también opera una infraestructura de gestión de nivel superior que comprende un panel de administración, probablemente utilizado para ejecutar la operación C2 de CleanUpLoader. Los agentes de Rhysida inician sesión en este panel en sus terminales como si fueran un empleado normal que inicia sesión en una herramienta de trabajo en línea. Por lo general, este panel ha estado vinculado a un dominio específico; Insikt Group ha descubierto que varios de ellos se utilizan en distintos momentos.
El nivel de administración también incluye un servidor Zabbix de código abierto que se conecta al panel de administración. Es probable que esto se utilice para monitorear la infraestructura y, como era de esperar, pero notablemente, su idioma predeterminado es el ruso.
tiempos de permanencia
Toda esta actividad tiene lugar durante el período entre el momento en que Rhysida obtiene acceso inicial a su entorno de destino y el momento en que ejecuta su ransomware. Entonces, aprovechando el tiempo de permanencia necesario para ejecutar estas diversas tareas para monitorear y captar el tráfico que fluye desde la infraestructura C2, el Grupo Insikt ha podido adelantarse a la pandilla.
“De las 11 víctimas enumeradas por Rhysida en su sitio de extorsión en julio de 2024, siete (más del 60%) mostraron signos tempranos de infección a través de balizas a los servidores CleanUpLoader C2”, escribió el equipo de Insikt Group.
“En promedio, transcurrieron más de 30 días entre el primer envío de balizas de estas organizaciones víctimas a los servidores CleanUpLoader C2 y el día en que aparecieron en el sitio de extorsión”.
El equipo dijo que también han podido detectar tráfico de una amplia gama de otras organizaciones hacia y desde la infraestructura CleanUpLoader C2, lo que les permitió hacer una evaluación razonablemente bien informada de que esas organizaciones podrían aparecer en breve en el sitio de extorsión de Rhysida.
“En teoría, este método de detección temprana se puede aplicar a cualquier grupo de ransomware y sus víctimas, siempre que su infraestructura pueda detectarse y luego combinarse con Recorded Future Network Intelligence. Lograr esto depende de dos factores clave: la puntualidad y la amplitud de la infraestructura maliciosa detectada”, dijo el equipo.
“Dado que los grupos de ransomware utilizan con frecuencia una combinación de herramientas personalizadas y disponibles comercialmente, y las cambian y evolucionan continuamente, es esencial identificar rápidamente la gama de estas herramientas monitoreando el panorama de amenazas y desarrollando y manteniendo detecciones efectivas.
“Además, la puntualidad es crucial y nuestros conocimientos sobre la infraestructura de nivel superior son vitales, ya que nos permiten detectar e identificar rápidamente la infraestructura emergente, complementando los métodos de búsqueda tradicionales”.