Hunters International enmascara a SharpRhino RAT como herramienta legítima para la administración de redes
Un grupo de amenazas emergente que ha logrado un ascenso meteórico a la cima de la cadena alimentaria del ransomware tiene una nueva herramienta en su arsenal: un novedoso troyano de acceso remoto (RAT). El grupo está utilizando la herramienta en ataques que parecen estar dirigidos a profesionales de TI.
Investigadores de Quorum Cyber reveló En una publicación reciente del blog, Hunters International, activo desde octubre pasado, está implementando Ransomware HiveEl grupo utiliza el nuevo malware, denominado SharpRhino, primero para obtener acceso a la infraestructura específica y luego para establecer persistencia y permitir a los atacantes mantener el acceso remoto al dispositivo.
SharpRhino ataca sistemas disfrazados como la herramienta de administración de red de código abierto Angry IP Scanner a través de dominios de typosquatting. Como Angry IP Scanner es de código abierto, los atacantes pueden abusar y usar indebidamente certificados de firma de código válidos para hacer que parezca que un administrador de red está descargando software que tiene un certificado válido, pero en realidad está instalando el malware, según la publicación.
Tras su ejecución, SharpRhino establece persistencia y proporciona a los atacantes acceso remoto al dispositivo, que luego utilizan para lanzar un ataque ransomware típico utilizando el ransomware Hive. Hunters International adquirió el malware de sus propietarios originales, un grupo que se disolvió después de que se sacado por las fuerzas de seguridad internacionales poco después de su creación.
«Utilizando técnicas nunca antes vistas, el malware puede obtener un alto nivel de permiso en el dispositivo para garantizar que el atacante pueda continuar con su ataque con una interrupción mínima», escribió el analista de inteligencia de amenazas cibernéticas de Quorum, Michael Forret, en la publicación.
Evolución de un grupo de ransomware
SharpRhino demuestra la progresión de Hunters International, un grupo vinculado a Rusia. En los primeros siete meses de 2024, el grupo se atribuyó la responsabilidad de 134 ataques. ascendido a la ascensión como el décimo grupo de ransomware más activo en 2024 gracias a su posesión de Hive.
Aprovechando el ransomware, el grupo se ha posicionado como un ransomware como servicio (RaaS) proveedor que trabaja con actores menos sofisticados para hacer gran parte de su trabajo sucio, lo que le permite difundir Hive más rápidamente. «Ser un proveedor de RaaS es muy probablemente una de las principales causas de su rápido ascenso a la notoriedad», escribió Forret.
Como muchos otros operadores de ransomwareHunters International extrae datos de las organizaciones víctimas antes de cifrar los archivos, luego cambia las extensiones de archivo a .locked y deja un mensaje README que guía a los destinatarios a un portal de chat en la red Tor para obtener instrucciones de pago.
«El cifrador en sí mismo exhibe un diseño sofisticado, codificado en Rust, un lenguaje de programación cada vez más utilizado por los cibercriminales por sus características de seguridad, eficiencia y resistencia a la ingeniería inversa», escribió Forret. «Esta táctica está en línea con la evolución observada en el desarrollo del ransomware, con ejemplos notables que incluyen tanto a Hive como a BlackCat».
Disfrazado de software legítimo
Los investigadores analizaron una muestra de SharpRhino que utilizaba un certificado válido firmado por J-Golden Strive Trading Co. Ltd. El archivo que distribuía el malware era un ejecutable empaquetado en Nullsoft Scriptable Installer System (NSIS), un archivo común que la mayoría de las herramientas de compresión como 7-Zip pueden entender y leer, observó Forret.
El sistema de instalación establece la persistencia modificando el Ejecutar\UpdateWindowsKey registro con el acceso directo para Microsoft.AnyKey, y establece dos directorios en el C:\ProgramData\Microsoft — llamado Windows Updater24 y otro llamado RegistroActualizarWindows — para facilitar múltiples canales al comando y control (C2) de Hunters International como «un mecanismo de respaldo», señaló Forret.
«Si la carpeta Windows Updater24 y su contenido es descubierto por un motor de seguridad o un profesional, existe la posibilidad de que el mecanismo de persistencia permanezca y el dispositivo permanezca infectado”, escribió.
En última instancia, el propósito de SharpRhino en un ataque es darle a Hunters International persistencia y control sobre un sistema específico para «lanzar un sofisticado ataque de ransomware» para obtener ganancias financieras, lo que el grupo hace sin priorizar ningún sector o región, sino que ataca «a través de medios oportunistas», escribió Forret.
Qurom Cyber incluyó una lista de indicadores de vulnerabilidad para SharpRhino, de modo que las organizaciones puedan identificar si los administradores de red descargaron accidentalmente el RAT en lugar de la herramienta legítima que creían que estaban implementando. También proporcionó Mitre ATT&CK Mapping para la defensa y evasión del RAT, el descubrimiento, la escalada de privilegios, la ejecución, la persistencia y los procesos C2.