La banda de ransomware NoName ha pasado más de tres años tratando de hacerse un nombre al atacar pequeñas y medianas empresas en todo el mundo con su propio software de cifrado. Ahora, parece que están colaborando como afiliados de RansomHub.
Para llevar a cabo sus ataques, NoName utiliza herramientas personalizadas, como el malware de la familia Spacecolon, que implementan después de acceder a las redes mediante ataques de fuerza bruta o aprovechando vulnerabilidades antiguas, como EternalBlue (CVE-2017-0144) y ZeroLogon (CVE-2020-1472).
En sus ataques más recientes, la banda ha adoptado un nuevo ransomware llamado ScRansom, sustituyendo al cifrador Scarab que usaban antes. Además, han estado experimentando con el generador de ransomware filtrado de LockBit 3.0, e incluso han creado un sitio de filtración de datos y notas de rescate muy similares a las de LockBit, en un intento más por consolidar su reputación en el mundo del cibercrimen.
El Ransomware ScRansom
La banda NoName, conocida también como CosmicBeetle, ha estado activa desde 2023 con el lanzamiento de ScRansom, un malware de cifrado de archivos desarrollado en Delphi. Aunque no es tan sofisticado como otras amenazas en el mundo del ransomware, este malware sigue evolucionando, manteniéndose como una amenaza que no debe subestimarse.
ScRansom permite a los atacantes utilizar cifrado parcial con diferentes modos de velocidad, lo que les da cierta flexibilidad durante el ataque. También incluye un modo llamado "BORRAR", que sobrescribe los archivos con un valor constante, haciéndolos imposibles de recuperar.
Este malware es capaz de cifrar archivos en todas las unidades conectadas al sistema, ya sean fijas, remotas o extraíbles. Además, los operadores pueden personalizar qué tipos de archivos se verán afectados mediante una lista de extensiones a su elección.
Antes de iniciar el proceso de cifrado, ScRansom desactiva y elimina varios procesos y servicios críticos en sistemas Windows, como Windows Defender, Volume Shadow Copy, SVCHost, RDPclip, LSASS y procesos relacionados con VMware. Esto asegura que las defensas del sistema estén deshabilitadas, facilitando el cifrado de los datos.
En cuanto a su esquema de cifrado, ScRansom emplea una combinación de AES-CTR-128 y RSA-1024, lo que lo hace más complejo de descifrar. Además, genera una clave AES adicional para proteger la clave pública utilizada en el proceso de cifrado. Aunque aún en desarrollo, su diseño y versatilidad lo convierten en una amenaza que sigue en constante evolución.
Podría interesarte leer: RansomHub Usa TDSSKiller de Kaspersky para Desactivar Software EDR
El proceso de cifrado de ScRansom puede ser bastante complicado y no siempre funciona como debería. Al tener múltiples intercambios de claves durante el cifrado, a veces surgen errores que impiden descifrar los archivos, incluso cuando se dispone de las claves correctas.
Además, si el ransomware se ejecuta más de una vez en el mismo dispositivo o en una red con varios sistemas, se generan nuevas claves e identificaciones de víctimas. Esto hace que el proceso de recuperación sea aún más difícil. En un caso particular, una víctima que pagó el rescate recibió 31 identificaciones y claves de descifrado, pero aún así no pudo restaurar todos sus archivos cifrados.
En cuanto a cómo NoName accede a las redes, la banda usa ataques de fuerza bruta para vulnerar sistemas, pero también aprovecha fallas de seguridad conocidas en entornos empresariales. Algunas de las vulnerabilidades que han explotado incluyen:
- CVE-2017-0144 (EternalBlue)
- CVE-2023-27532 (en Veeam Backup & Replication)
- CVE-2021-42278 y CVE-2021-42287 (escalada de privilegios en Active Directory mediante noPac)
- CVE-2022-42475 (vulnerabilidad en FortiOS SSL-VPN)
- CVE-2020-1472 (conocida como Zerologon).
NoName Adopta Herramientas de RansomHub
El camino de NoName hacia convertirse en afiliado de RansomHub no fue casualidad. La banda mostró su compromiso con el negocio del ransomware a través de una serie de movimientos estratégicos. Al darse cuenta de que ScRansom no tenía un gran reconocimiento en la escena, decidieron tomar un enfoque más agresivo para ganar notoriedad.
En septiembre de 2023, bajo el nombre de CosmicBeetle, lanzaron un sitio de extorsión en la dark web llamado "NONAME", el cual resultó ser una copia modificada del sitio de filtración de datos de LockBit. Curiosamente, incluía víctimas que en realidad habían sido atacadas por LockBit, no por ScRansom. Esta estrategia fue revelada por investigadores que verificaron la autenticidad de las víctimas a través de servicios de seguimiento de sitios de filtración.
Para noviembre de 2023, NoName llevó su suplantación de identidad un paso más allá al registrar el dominio lockbitblog[.]info, creando una página que imitaba tanto el tema como el logotipo del sitio oficial de LockBit. Esta movida audaz subraya cómo la banda está dispuesta a usar cualquier táctica disponible para aumentar su visibilidad en el mundo del cibercrimen, incluso si eso significa adoptar identidades falsas para sembrar más confusión y miedo entre sus víctimas.
Conoce más sobre: LockBit Ransomware: Nuevos Cifradores y Servidores en 2024
Investigadores han identificado varios ataques recientes en los que se utilizó una muestra de LockBit, pero curiosamente, la nota de rescate contenía un ID de víctima previamente vinculado a CosmicBeetle (también conocido como NoName). Además, las herramientas empleadas en estos incidentes coincidían con el malware atribuido a este grupo.
Durante la investigación de un ataque de ransomware que comenzó en junio con un intento fallido de implementar ScRansom, se descubrió que, menos de una semana después, los atacantes ejecutaron en la misma máquina una herramienta de RansomHub diseñada para desactivar soluciones de seguridad y escalar privilegios. Esta herramienta, conocida como "EDR killer", aprovecha un controlador legítimo pero vulnerable en dispositivos específicos para lograr sus objetivos.
Poco después, el 10 de junio, los atacantes desplegaron el ransomware de RansomHub en el sistema comprometido. Lo interesante es que el método usado para extraer el EDR killer era característico de CosmicBeetle, lo que sugiere que el grupo sigue siendo un actor clave detrás de estos ataques, en lugar de un afiliado típico de RansomHub.
Aunque el código de RansomHub no ha sido filtrado públicamente, las evidencias apuntan a que CosmicBeetle podría estar colaborando directamente con este grupo de ransomware. Por otro lado, aunque ScRansom sigue en desarrollo activo, el paso de CosmicBeetle hacia el uso de LockBit indica que no están dispuestos a rendirse y continúan adaptándose a las nuevas herramientas del ecosistema del ransomware.
Conclusión
Para protegerse de ataques como los perpetrados por Noname y su malware RansomHub, tanto las empresas como los usuarios individuales deben tomar medidas proactivas en ciberseguridad. La prevención es clave, y adoptar las prácticas adecuadas puede marcar la diferencia entre ser una víctima más o mantener tus sistemas a salvo.
-
Mantener los sistemas actualizados: Las vulnerabilidades en software desactualizado son una puerta de entrada común para los ciberdelincuentes. Mantener actualizados los sistemas operativos, aplicaciones y plugins con los últimos parches de seguridad es esencial para reducir el riesgo de ser atacado.
-
Realizar copias de seguridad regulares: Contar con copias de seguridad actualizadas es una de las defensas más efectivas contra el ransomware. Soluciones como TecnetProtect permiten programar copias de seguridad automáticas y almacenarlas en ubicaciones seguras, fuera de línea o en sistemas independientes, para que no se vean afectadas en caso de un ataque. Con herramientas como esta, incluso si tus datos son secuestrados, puedes restaurarlos rápidamente, minimizando el impacto en tus operaciones. Las copias de seguridad no solo te protegen de los ataques, sino que también te dan tranquilidad al saber que tus datos siempre estarán a salvo.
-
Concienciación y formación en ciberseguridad: Muchos ataques comienzan con técnicas simples como el phishing. Capacitar a los trabajadores para reconocer correos electrónicos sospechosos, enlaces no confiables y otras señales de posibles amenazas es fundamental para crear una primera línea de defensa fuerte.
-
Implementar una política de privilegios mínimos: Limitar el acceso de los trabajadores a solo aquellos sistemas y datos que necesitan minimiza el riesgo en caso de que una cuenta se vea comprometida. Este principio reduce la posibilidad de que un atacante pueda moverse libremente dentro de una red comprometida.
-
Utilizar autenticación multifactor (MFA): El uso de autenticación multifactor es esencial para agregar una capa adicional de seguridad más allá de las contraseñas. Esto hace que sea mucho más difícil para los atacantes acceder a redes y sistemas, incluso si roban las credenciales de un usuario.
-
Sistemas avanzados de detección de intrusiones: Las tecnologías de detección de intrusiones permiten identificar comportamientos anormales en la red, lo que ayuda a detectar ataques antes de que causen daños mayores. Estos sistemas son una parte fundamental de una estrategia de ciberseguridad sólida.
Noname ransomware y su malware RansomHub representan una amenaza en crecimiento en el panorama de la ciberseguridad. La combinación de medidas preventivas, como actualizaciones y MFA, junto con una estrategia sólida de copias de seguridad, puede marcar una gran diferencia en la capacidad de una organización para resistir y recuperarse de un ataque. Estar preparado y educado es vital para que tanto empresas como individuos eviten caer en las redes de estos atacantes.