El ransomware que borra o cifra respaldos o copias de seguridad creado por Veeam

‘Uno de los desarrolladores de malware más peligrosos y activos que operan en este momento’

Los delincuentes que difunden el ransomware Noberus están agregando armas a su malware para robar datos y credenciales de redes comprometidas.

El mes pasado se vio una versión ampliamente actualizada de la herramienta de exfiltración de datos Exmatter que se usó con Noberus en infecciones de ransomware, y se detectó al menos un afiliado que usa Noberus usando Eamfo, el malware que roba información que se conecta a la base de datos SQL donde se encuentra la copia de seguridad de Veeam de la víctima. la instalación del software almacena las credenciales, según los investigadores del Threat Hunting Team de Symantec.

La adopción de las tácticas, herramientas y procedimientos (TTP) por parte de Coreid, el grupo de ransomware como servicio (RaaS) que se cree que está detrás de Noberus, y sus afiliados hacen que “la amenaza sea más peligrosa que nunca” y la pandilla ” el desarrollo continuo de su ransomware y sus programas afiliados indica que este atacante sofisticado y con buenos recursos tiene pocas intenciones de ir a ningún lado en el corto plazo”, escribieron los investigadores en un informe el jueves.

Coreid, que los investigadores de Symantec llamaron “uno de los desarrolladores de ransomware más peligrosos y activos que operan en este momento”, no es ajeno a la gente de seguridad, ya que existe desde 2012. El equipo en constante evolución se hizo conocido por usar el malware Carbanak para robar dinero. , particularmente en las industrias bancaria, hotelera y minorista.

Tres miembros de la pandilla fueron identificados en 2018, y dos años después, Coreid cambió de carril y lanzó una operación RaaS que incluía el notorio Darkside (utilizado en el ataque Colonial Pipeline ) y más tarde las cepas de ransomware BlackMatter.

Noberus, también conocido como BlackCat y ALPHV, es el sucesor de esas familias de malware. Coreid ha actualizado continuamente Noberus desde que apareció por primera vez en noviembre de 2021, poco después de que se retirara BlackMatter en un presunto movimiento de la banda de ransomware para adelantarse a las fuerzas del orden.

La unidad de inteligencia de amenazas Talos de Cisco en marzo hizo una inmersión profunda en BlackCat y sus conexiones con Darkside y BlackMatter.

Noberus está escrito en Rust, un lenguaje de programación cada vez más popular entre los desarrolladores de software legítimo y malware, en parte debido a su naturaleza multiplataforma. El extortionware puede cifrar archivos en una variedad de sistemas operativos y entornos, incluidos Windows, VMware ESXi, Debian Linux y ReadyNAS y almacenamiento Synology, afirmó Coreid.

“La actualización y el perfeccionamiento continuos de las operaciones de Noberus muestran que Coreid está adaptando constantemente su operación de ransomware para garantizar que siga siendo lo más eficaz posible”, escribieron los investigadores de Symantec, y señalaron que una advertencia del FBI en abril decía que al menos 60 organizaciones en todo el mundo han sido comprometidos por Noberus y que “el número de víctimas ahora probablemente sea muchos múltiplos de eso”.

En junio se produjo una actualización importante del código, que incluía capacidades de encriptación en los sistemas Arm y SAFEMODE, que agregó más funcionalidad de encriptación a su versión de Windows.

Eamfo se conecta a la base de datos SQL del software Veeam de la víctima y roba las credenciales a través de una consulta SQL. Se sabe que los atacantes explotan los productos de Veeam , otorgándoles capacidades de escalada de privilegios y permitiéndoles moverse lateralmente a través de las redes de las víctimas para atacar más sistemas y robar más información.