La ciberseguridad se enfrenta a nuevos desafíos todos los días, y los profesionales de TI son los más recientes en la mira de un grupo de ransomware. Hunter's International ha lanzado SharpRhino, un nuevo troyano de acceso remoto (RAT) especialmente diseñado para colarse en las redes corporativas y secuestrar datos valiosos.
El malware facilita a Hunters International la realización de la infección inicial, la elevación de privilegios en sistemas comprometidos, la ejecución de comandos de PowerShell y, finalmente, la implementación del ransomware.
Según investigadores, su propagación se lleva a cabo a través de un sitio de typosquatting que se hace pasar por la página web de Angry IP Scanner, una herramienta de red legítima usada por profesionales de TI. Hunters International es una operación de ransomware que se inició a finales de 2023 y que se sospecha podría ser una reencarnación del grupo Hive, debido a las similitudes en su código.
Entre sus víctimas se encuentran destacadas organizaciones como el contratista de la Marina estadounidense Austal USA, el gigante óptico japonés Hoya, Integris Health y el Centro de Cáncer Fred Hutch, evidenciando la falta de escrúpulos de estos ciberdelincuentes. Hasta la fecha, en 2024, este grupo ha llevado a cabo 134 ataques de ransomware en diversas organizaciones a nivel mundial (excluyendo a la CIS), colocándose en el décimo lugar entre los grupos más activos en este ámbito.
Conoce más sobre: Principales Ataques Cibernéticos de Julio de 2024
SharpRhino se distribuye como un instalador de 32 bits firmado digitalmente ('ipscan-3.9.1-setup.exe'), el cual incluye un archivo autoextraíble 7z protegido con contraseña y archivos adicionales necesarios para realizar la infección.
El instalador modifica el registro de Windows para asegurar la persistencia y crea un acceso directo a Microsoft.AnyKey.exe, un binario de Microsoft Visual Studio que en este caso, se utiliza de manera maliciosa. Asimismo, el instalador instala 'LogUpdate.bat', un script que ejecuta comandos de PowerShell en el dispositivo para compilar C# en la memoria, permitiendo así la ejecución discreta del malware.
Para garantizar redundancia, el instalador crea dos directorios: 'C:\ProgramData\Microsoft: WindowsUpdater24' y 'LogUpdateWindows', que se utilizan para el intercambio de comandos y control (C2). El malware tiene dos comandos codificados: "delay", que establece el temporizador para la próxima solicitud POST para recuperar un comando, y "exit", que termina la comunicación.
El análisis revela que el malware puede ejecutar PowerShell en el host, lo cual permite realizar diversas acciones peligrosas.
Conoce más sobre: Aumento de Ataques de Ransomware Magniber Afecta a Usuarios Domésticos
Hunters International, ha adoptado una nueva táctica alarmante. Están creando sitios web que se hacen pasar por herramientas legítimas de escaneo de red de código abierto, con el objetivo de engañar a los trabajadores de TI y acceder a cuentas con privilegios elevados.
Una de las principales formas en que este malware se propaga es a través de resultados patrocinados en los motores de búsqueda. Estos anuncios maliciosos pueden parecer legítimos y llevar a los usuarios a descargar software infectado. Para protegerse, los usuarios deben:
Podría interesarte leer: ¿Qué es Malvertising?: Anuncios Maliciosos en Línea
La mejor defensa contra el ransomware es una combinación de buenas prácticas de seguridad y medidas preventivas. Aquí hay algunas estrategias clave:
Plan de Respaldo: Establecer y mantener un plan de respaldo robusto. Realizar copias de seguridad regulares y almacenarlas de forma segura, aisladas de la red principal, para que no puedan ser cifradas por los atacantes.
Segmentación de la Red: Implementar una segmentación adecuada de la red. Dividir la red en segmentos más pequeños limita el movimiento lateral del malware y reduce la exposición de sistemas críticos.
Mantener Software Actualizado: Asegurarse de que todo el software, incluyendo sistemas operativos y aplicaciones, esté actualizado con los últimos parches de seguridad. Esto minimiza las oportunidades de elevación de privilegios y explotación de vulnerabilidades.
La nueva táctica de Hunters International de utilizar sitios web falsos para distribuir malware subraya la importancia de mantenerse alerta y adoptar medidas proactivas para proteger los sistemas de TI. Al evitar resultados patrocinados, utilizar bloqueadores de anuncios y marcar como favoritos los sitios oficiales, los profesionales de TI pueden reducir significativamente el riesgo de caer en trampas de publicidad maliciosa.
Además, un plan de respaldo sólido, una segmentación eficaz de la red y mantener el software actualizado son estrategias esenciales para mitigar los efectos devastadores de los ataques de ransomware. Para reforzar las defensas de tu organización, en TecnetOne te ofrecemos nuestra solución de ciberprotección y backups: TecnetProtect.
Esta herramienta integral ofrece características avanzadas como protección contra ransomware, Endpoint Detection and Response (EDR), Disaster Recovery Planning (DRP) y Managed Detection and Response (MDR). Estas capacidades aseguran que tus datos estén protegidos y accesibles incluso en caso de un ataque, y que cualquier amenaza sea detectada y mitigada rápidamente. Al adoptar TecnetProtect, puedes confiar en que tienes una capa adicional de seguridad que protege tus activos más valiosos.