Cisco Talos alerta de un nuevo grupo de ransomware

Cisco Talos, la división de ciber-inteligencia de Cisco, ha publicado una investigación detallada sobre una nueva campaña de ransomware llevada a cabo por el grupo ´Chaos´, que ya ha comenzado a atacar a múltiples organizaciones en Estados Unidos.

El Ransomware es junto al Phishing la mayor amenaza de la ciberseguridad mundial. Un ataque informático que infecta un ordenador personal, smartphone (o cualquier dispositivo electrónico) con el objetivo de bloquear su funcionamiento y/o acceso a una parte o a todo el equipo. Especialmente preocupante es el aumento del ransomware en empresas y organizaciones, con ataques que comprometen la integridad de los sistemas de una organización, sino que también pone en riesgo su capacidad operativa.

En los últimos tiempos, el ransomware como servicio (RaaS) está destacando como método de ataque y así es como trabaja el grupo ´Chaos´ localizado por Cisco Talos y al que considera responsable de ciber-ataques de alto perfil (big-game hunting) y doble extorsión, afectando a sectores críticos como tecnología, seguros, fabricación, logística, servicios de alimentos y organizaciones no gubernamentales (ONGs).

Aunque comparte nombre con variantes anteriores construidas con el ´Chaos builder´, no está relacionado con malware anterior, y parece utilizar esta confusión intencionalmente para dificultar la detección por parte de los equipos de ciberseguridad.

Talos cree que el nuevo grupo de ransomware Chaos podría ser una operación renombrada del ransomware Blacksuit (Royal) o un nuevo grupo surgido de dicha organización criminal, que Talos identificó previamente como uno de los grupos de ransomware con mayor volumen de ataques.

Los atacantes han empleado un enfoque escalonado que incluye acceso inicial mediante campañas de spam de bajo esfuerzo -seguido de ingeniería social por voz para el despliegue del ransomware-, el uso de herramientas legítimas de administración remota como AnyDesk, ScreenConnect, Syncro, OptiTune y Splashtop Streamer para mantener persistencia y control en los sistemas comprometidos y la exfiltración de datos utilizando el software de respaldo GoodSync, que redirige la información robada hacia almacenamiento en la nube controlado por los atacantes.