¿Cómo está operando la banda Crazy ransomware en entornos corporativos?

La banda Crazy ransomware utiliza software legítimo de monitoreo de empleados, como Net Monitor for Employees Professional, junto con SimpleHelp, una herramienta de soporte remoto, para mantener persistencia en redes corporativas, evadir detección y preparar ataques de ransomware.

¿Qué técnicas usan para acceder y controlar sistemas comprometidos?

Instalan agentes de monitoreo mediante instaladores legítimos y PowerShell, habilitan la cuenta de administrador local, transfieren archivos, ejecutan comandos y monitorean la actividad en tiempo real, manteniendo acceso continuo incluso si uno de los agentes es eliminado.

¿Qué métodos de evasión emplean estos atacantes?

Intentan desactivar Windows Defender, eliminan servicios de seguridad, configuran alertas en SimpleHelp para detectar wallets de criptomonedas y monitorean herramientas de acceso remoto, mezclándose con tráfico legítimo para evitar ser detectados.

¿Qué información o activos buscan los atacantes?

Buscan información de wallets de criptomonedas, plataformas de pago, exchanges, exploradores blockchain y credenciales de acceso remoto, preparando ataques de ransomware y posibles robos financieros.

¿Por qué el uso de software legítimo facilita los ataques?

El software legítimo permite a los atacantes mezclarse con tráfico normal de la red, evadir detección, mantener persistencia y ejecutar comandos de manera sigilosa, haciendo más difícil identificar actividad maliciosa antes de que ocurra un ataque.

¿Qué medidas pueden tomar las empresas para protegerse?

Se recomienda monitorear instalaciones no autorizadas de herramientas de monitoreo y soporte remoto, aplicar MFA en accesos remotos, auditar cuentas administrativas, revisar logs de actividad sospechosa y mantener sistemas de seguridad activos, como Windows Defender.

Banda Crazy ransomware abusa de Software de Monitoreo de Empleados en Ataques Corporativos | Noticias Hacking y Seguridad Informática

Investigadores de Huntress han identificado que miembros de la banda Crazy ransomware están utilizando software legítimo de monitoreo de empleados junto con SimpleHelp, una herramienta de soporte remoto, para mantener persistencia en redes corporativas, evadir detección y preparar el despliegue de ransomware.

Modus operandi del ataque

Durante varias intrusiones, los atacantes instalaron Net Monitor for Employees Professional** usando msiexec.exe, el instalador de Windows, descargando directamente el agente desde el sitio legítimo del desarrollador.

El software permitió a los atacantes ver el escritorio de las víctimas, transferir archivos y ejecutar comandos de manera remota, obteniendo acceso completo a los sistemas comprometidos.

Intentaron habilitar la cuenta de administrador local con el comando:

net user administrator /active:yes

Como medida de persistencia redundante, descargaron e instalaron el cliente de SimpleHelp mediante PowerShell, usando nombres de archivo que imitaban binarios legítimos como Visual Studio vshost.exe o C:\ProgramData\OneDriveSvc\OneDriveSvc.exe.

Luego, usaron ambos softwares para ejecutar comandos, transferir archivos y monitorear actividad en tiempo real, asegurando acceso continuo incluso si uno de los agentes era eliminado.

Saber Más..

Técnicas de evasión y preparación para ransomware

Los atacantes también:

Intentaron desactivar Windows Defender, deteniendo y eliminando servicios asociados.
Configuraron reglas en SimpleHelp para alertar cuando dispositivos accedían a wallets de criptomonedas o utilizaban herramientas de gestión remota.

Huntress reporta que se monitoreaban palabras clave como:

Wallets y servicios: metamask, exodus, wallet, blockchain
Exchanges: binance, bybit, kucoin, bitrue, poloniex, bc.game, noones
Exploradores blockchain: etherscan, bscscan
Plataformas de pago: payoneer
Herramientas de acceso remoto: RDP, anydesk, ultraview, teamview, VNC

Esto permitía a los atacantes preparar ataques de ransomware y posibles robos de criptomonedas mientras detectaban conexiones legítimas a los sistemas.

Persistencia y uso de múltiples herramientas

El uso de herramientas legítimas de monitoreo y soporte remoto permitió a la banda:

Mezclarse con tráfico legítimo de la red, evitando detección.
Mantener acceso incluso si uno de los agentes era descubierto o eliminado.
Ejecutar comandos de manera sigilosa y transferir datos críticos sin levantar alertas.

Huntress observó que, aunque solo uno de los incidentes llevó a la implantación de ransomware, ambos incidentes compartieron:

Mismo nombre de archivo: vhost.exe
Infraestructura de comando y control (C2) solapada

Lo que sugiere fuertemente que un único actor o grupo está detrás de ambos ataques.

Recomendaciones de seguridad

Para protegerse de amenazas similares:

Monitorear instalaciones no autorizadas de herramientas de monitoreo y soporte remoto.
Aplicar MFA (autenticación multifactor) en todos los accesos remotos, incluyendo SSL VPNs.
Auditar cuentas administrativas y privilegios locales en la red.
Revisar logs de herramientas de monitoreo y acceso remoto para detectar actividad sospechosa.
Mantener Windows Defender y otros sistemas de seguridad activos, evitando deshabilitaciones silenciosas.

Modus operandi del ataque

Técnicas de evasión y preparación para ransomware

Persistencia y uso de múltiples herramientas

Recomendaciones de seguridad

🔥 LO MÁS VISTO DE ESTA CATEGORÍA