Hackers utilizan estos nuevos bootloaders para instalar ransomware en las redes afectadas

Un informe de la firma de seguridad FireEye detalla la detección de múltiples campañas de distribución de ransomware en las que los operadores abusan de los nuevos cargadores de arranque KEGTAP, SINGLEMALT y WINEKEY. En algunos de los casos reportados, la cadena de infección fue completada en menos de 24 horas después de iniciado el ataque. 

Las variantes de ransomware detectadas hasta este momento guardan similitudes mínimas, no obstante, los expertos descubrieron que todas forman parte de la misma campaña luego de detectar que estas variantes interactúan con el mismo servidor de comando y control. Estas variantes de ransomware apuntan principalmente contra hospitales y centros de salud, una tendencia realmente preocupante en el contexto de la pandemia.

Para la distribución del malware los actores de amenazas enviaron emails a los empleados de las compañías atacadas. Estos mensajes contenían un enlace a un documento en Google Docs, además de un enlace que contenía la carga útil del ransomware en cuestión.

Al hacer clic en los enlaces se iniciaba la descarga de binarios de malware con nombres de archivo disfrazados de documentos legítimos. Después de iniciar el bootloader y el backdoor en el sistema objetivo, los actores de amenazas descargaron las balizas POWETRICK y Cobalt Strike, además del uso de otras variantes de backdoor como ANCHOR para el uso del ransomware TrickBot.

En otros ataques, los binarios de malware se alojaban en una infraestructura comprometida, pero los atacantes pronto cambiaron a alojar su malware en servicios web legítimos, incluidos Google Drive, Basecamp, Slack, Trello, Yougile y JetBrains.

En al menos un caso, los cibercriminales mantuvieron el acceso al entorno de la víctima utilizando credenciales robadas para acceder a una infraestructura VPN sin autenticación multifactor, lo que les permitió desplegar una gran variedad de acciones maliciosas, como la ejecución de comandos PowerShell vía balizas Cobalt Strike.

Finalmente, los expertos también reportaron ataques relacionados con KEGTAP, que incluyen infecciones de ransomware Ryuk, Conti y Maze, todos relacionados con el backdoor ANCHOR.