Un grupo afiliado a la operación ransomware-as-a-service (RaaS) RansomHub ha desplegado un backdoor personalizado llamado Betruger, diseñado para ataques de ransomware.
¿Qué hace Betruger?
Es un backdoor multifuncional, lo que lo hace raro en el mundo del ransomware.
Incluye:
✅ Keylogging (registro de pulsaciones).
✅ Escaneo de redes.
✅ Elevación de privilegios.
✅ Robo de credenciales.
✅ Captura de pantalla.
✅ Carga de archivos a un servidor C2.
¿Por qué es importante?
Betruger reduce la necesidad de usar múltiples herramientas en un ataque, permitiendo a los atacantes operar con menor detección. En lugar de usar herramientas conocidas como Mimikatz o Cobalt Strike, este backdoor integra múltiples funcionalidades en una sola herramienta.
¿Cómo se propaga Betruger?
Se disfraza como una aplicación de correo con los nombres “mailer.exe” y “turbomailer.exe” y minimiza la huella digital de los atacantes, haciéndolos más difíciles de detectar.
RansomHub: El grupo detrás del ataque ☠️
Este grupo RaaS, antes conocido como Cyclops y Knight, apareció en febrero de 2024. En lugar de cifrar datos, se especializa en extorsión basada en robo de información.
Víctimas de alto perfil incluyen:
Halliburton (petróleo).
️ Casa de subastas Christie’s.
Frontier Communications (telecomunicaciones).
Planned Parenthood (salud sexual).
⚽ Bologna FC (club de fútbol).
Ataques recientes:
BayMark Health Services: El mayor proveedor de tratamiento contra adicciones en América del Norte, con más de 75,000 pacientes diarios.
Change Healthcare: Datos filtrados tras la salida fraudulenta de $22 millones de BlackCat/ALPHV.
Importante impacto en infraestructuras críticas: El FBI reporta que los afiliados de RansomHub han atacado más de 200 víctimas en sectores críticos de EE.UU., incluyendo gobierno, infraestructura y salud.
Recomendaciones para mitigar el riesgo ️
Monitorear actividad inusual en redes y endpoints.
Actualizar y reforzar credenciales contra ataques de robo de contraseñas.
Bloquear archivos sospechosos como mailer.exe y turbomailer.exe.
Usar herramientas de detección avanzada para identificar tráfico anómalo a servidores C2.
¡Las organizaciones deben prepararse! Betruger marca una nueva fase en ataques de ransomware con herramientas personalizadas y más difíciles de detectar.