Twisted Spider utiliza DanaBot para implementar el ransomware CACTUS
Los ciberdelincuentes conocidos como Twisted Spider están utilizando DanaBot para propagar el ransomware CACTUS
Según los investigadores de seguridad de Microsoft, los ciberdelincuentes conocidos como Twisted Spider, también conocidos como Storm-0216, están utilizando los servicios de Storm-1044 para infectar los puntos finales de destino con un troyano de acceso inicial llamado DanaBot. Una vez que obtienen acceso a través de DanaBot, Twisted Spider implementa el ransomware CACTUS en los sistemas infectados.
En un hilo de Twitter, los investigadores de Microsoft revelaron que Storm-0216 solía aprovechar la infraestructura de QakBot para llevar a cabo sus ataques. Sin embargo, después de que las autoridades desmantelaron esta operación el verano pasado, el grupo se vio obligado a cambiar a una plataforma diferente.
La compañía explicó que la actual campaña de Danabot, que se detectó por primera vez en noviembre, parece estar utilizando una versión privada del malware de robo de información en lugar de la oferta de malware como servicio. Además, DanaBot ofrece actividades prácticas con el teclado a sus socios.
Cifrarse a sí mismo
Una vez que el grupo Storm-1044 obtiene las credenciales de inicio de sesión necesarias, se mueven lateralmente a través de la red y los puntos finales mediante intentos de inicio de sesión RDP. Después, entregan el acceso inicial a Twisted Spider, quien infecta los puntos finales con el ransomware CACTUS.
CACTUS se está convirtiendo rápidamente en la opción preferida de muchos operadores de ransomware. Investigadores de Arctic Wolf advirtieron recientemente que los piratas informáticos están abusando de tres vulnerabilidades en la solución de análisis de datos Qlik Sense para implementar esta variante y robar datos confidenciales de las empresas.
Además, el ransomware CACTUS tiene un método único para evadir las protecciones de ciberseguridad. «CACTUS se encripta a sí mismo, lo que dificulta su detección y le ayuda a evadir antivirus y herramientas de monitoreo de red», explicó Laurie Iacono, directora general asociada de riesgo cibernético en Kroll.
El ransomware CACTUS es relativamente nuevo en el juego del ransomware y fue detectado por primera vez en marzo de este año. Su modus operandi consiste en robar datos sensibles y cifrar sistemas, para luego exigir el pago en criptomonedas a cambio de la clave de descifrado y garantizar la privacidad de los datos.