Una sofisticada campaña de recolección de credenciales ha estado apuntando a los administradores de la nube ScreenConnect durante años y puede estar abriendo la puerta a los ataques de ransomware, investigadores de Mimecast dijo en una publicación de blog lanzada el lunes.
La campaña utiliza cuentas de servicio de correo electrónico simples de Amazon comprometidas para sencillos de TI sench-phish que tienen privilegios elevados en los entornos de captura de pantalla. Los piratas informáticos están apuntando a credenciales súper administradores, que proporcionan un control extenso de la infraestructura de acceso remoto de las empresas, según investigadores de Mimecast.
«Screenconnect es una excelente manera para que el grupo de ransomware no solo obtenga credenciales de alguien con el nivel correcto de acceso, sino que comprenda los activos de la organización y luego supere el contenido malicioso cuando estén listos», dijeron los investigadores de Mimecast a Cybersecurity Dive.
Las páginas de phishing utilizan técnicas adversas en el medio y una herramienta de código abierto llamada EvilGinX, que los investigadores dijeron que permiten a los piratas informáticos eludir la autenticación y mantener la persistencia.
La campaña, que comenzó en 2022, tiene conexiones con la actividad de ransomware por afiliados del grupo Qilin. Los atacantes pueden usar las credenciales de súper administrador para instalar instancias de captura de pantalla que controlan en múltiples computadoras al mismo tiempo, lo que les ayuda a moverse lateralmente a través de una red y aumenta su capacidad de distribuir ransomware, dijeron investigadores de Mimecast.
Investigadores de Sophos en abril advirtió sobre un ataque Contra un proveedor de servicios administrado con lo que parecía ser una alerta de autenticación para una herramienta de administración y monitoreo remoto de screenconnect. Ese incidente permitió que los afiliados de ransomware de Qilin accedieran a las credenciales del administrador y lanzaran ataques aguas abajo.
«Elaboraron un correo electrónico de phishing que parecía ser una alerta legítima de captura de pantalla de caprichos, pero era malicioso», dijo a CyberSecurity Dive, Gerente de Respuesta a Incidentes de Anthony Bradshaw, MDR en Sophos.
Qilin «exfiltrado y encriptado múltiples sistemas», dijo Bradshaw, dejando notas de rescate para estas víctimas. Sophos ha rastreado la actividad de amenaza bajo el nombre de STAC4365.
Qilin es un sofisticado actor de ransomware como servicio vinculado a múltiples ataques de alto perfil, incluido uno contra Giant de los medios Lee Enterprises. El grupo también Reclamó crédito por el ataque contra inotiv a principios de este mes.
Fuente