Un ransomware cifra copias de seguridad

Un ransomware creado por Veeam borra o cifra copias de seguridad

‘Uno de los desarrolladores de malware más peligrosos y activos que operan en este momento’

Los ciberdelincuentes que extienden el Noberus, un ransomware que cifra o borra copias de seguridad, están agregando nuevas funcionalidades a su malware para robar datos y credenciales de redes comprometidas.

El mes pasado se pudo analizar una versión actualizada de la herramienta de exfiltración de datos Exmatter que se usó con Noberus en infecciones de ransomware, y se detectó al menos un afiliado que usa Noberus usando Eamfo, el malware que roba información conectándose a la base de datos SQL donde se encuentra la copia de seguridad de Veeam de la víctima. La instalación del software almacena las credenciales, según los investigadores de Symantec.

La adopción de las tácticas, herramientas y procedimientos (TTP) por parte de Coreid, el grupo de ransomware como servicio (RaaS), que se cree que está detrás de Noberus, hacen que “la amenaza sea más peligrosa que nunca”.

Coreid existe desde 2012. El equipo en constante evolución se hizo conocido por usar el malware Carbanak para robar dinero, particularmente en las industrias bancaria, hotelera y minorista.

Noberus, también conocido como BlackCat y ALPHV, es el sucesor de esas familias de ransomware que además cifra o borra copias de seguridad. Coreid ha actualizado continuamente Noberus desde que apareció por primera vez en noviembre de 2021, poco después de que se retirara BlackMatter

Noberus está escrito en Rust, un lenguaje de programación cada vez más popular entre los desarrolladores de software legítimo y malware, en parte debido a su naturaleza multiplataforma.

“La actualización y el perfeccionamiento continuos de Noberus muestran que Coreid está adaptando constantemente su ransomware de manera este que cifra copias de seguridad de la forma más eficaz posible”, escribieron los investigadores de Symantec. Además señalaron que una advertencia del FBI en abril decía que al menos 60 organizaciones en todo el mundo han sido comprometidos por Noberus y que la cifra irá en aumento exponencialmente.

En junio se produjo una actualización importante del código, que incluía capacidades de encriptación en los sistemas Arm y SAFEMODE, que agregó más funcionalidad de encriptación a su versión de Windows.

Eamfo se conecta a la base de datos SQL del software Veeam de la víctima y roba las credenciales a través de una consulta SQL. Se sabe que los atacantes explotan los productos de Veeam, otorgándoles capacidades de escalada de privilegios y permitiéndoles moverse lateralmente a través de las redes de las víctimas para atacar más sistemas y robar más información.

Fuente: https://bit.ly/3LNGUJY

Related posts