Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVAS ESTRATEGIAS AVANZADAS DE RANSOMHOUSE

12/06/2024

NUEVAS ESTRATEGIAS AVANZADAS DE RANSOMHOUSE
La organización conocida como RansomHouse ha estado operativa desde finales del año 2021, centrándose en afectar a diversas organizaciones a nivel mundial. Este grupo destaca por emplear tácticas avanzadas, aprovechando vulnerabilidades no parcheadas en las infraestructuras tecnológicas de sus objetivos.

Descripción

Su característica distintiva es la modalidad de doble extorsión, exigiendo no solo un pago para la recuperación de la información cifrada, sino también filtrando datos antes de cifrarlos. En caso de no realizarse el pago en el plazo indicado, la información comprometida se publica en su sitio web en la Darknet o se comercializa en busca de posibles clientes.

En la última actualización de su ransomware, RansomHouse ha introducido una nueva herramienta denominada 'MrAgent', la cual automatiza la implementación de su cifrado de datos en varios hipervisores VMware ESXi. La función principal de MrAgent consiste en identificar el sistema, desactivar su firewall y luego automatizar el proceso de implementación del ransomware en múltiples hipervisores simultáneamente, comprometiendo así todas las máquinas virtuales administradas.

MrAgent permite configuraciones personalizadas para la implementación del ransomware, recibidas directamente desde el servidor de comando y control (C2). Estas configuraciones incluyen el establecimiento de contraseñas en el hipervisor, la configuración del comando de cifrado y sus argumentos, la programación de un evento de cifrado y el cambio del mensaje de bienvenida mostrado en el monitor del hipervisor (para mostrar un aviso de rescate).

Al desactivar el firewall y potencialmente eliminar las sesiones Secure Shell (SSH), MrAgent minimiza las posibilidades de detección e intervención por parte de los administradores, aumentando así el impacto del ataque al dirigirse a todas las máquinas virtuales accesibles de manera simultánea.

Vector de infección

Por el momento se conoce que el grupo RansomHouse recurre a distintos métodos, entre los que se incluyen el empleo de correos electrónicos de tipo phishing y la explotación de vulnerabilidades conocidas.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Realizar un análisis completo con la solución antimalware de los equipos y servidores de la entidad con el fin de identificar posibles amenazas.
  • Mantener actualizada la gestión de vulnerabilidades para reducir el vector de infección al interior de las entidades.
  • Contar con políticas de copias de seguridad que permitan respaldar la información sensible de las entidades, esto bajo los diferentes lineamientos que permita asegurar su disponibilidad en casos de presentarse un incidente de seguridad.

Leer noticia: https://www.bleepingcomputer.com/news/security/ransomhouse-gang-automates-vmware-esxi-attacks-with-new-mragent-tool/