El panorama de ciberseguridad enfrenta una nueva amenaza sofisticada a medida que el grupo de ransomware Crypto24 demuestra una evolución alarmante en la metodología de ataque, combinando sin problemas herramientas administrativas legítimas con malware desarrollado a medida para ejecutar ataques de precisión contra objetivos de alto valor.
Esta operación emergente de ransomware ha comprometido con éxito organizaciones en Asia, Europa y Estados Unidos, con un enfoque particular en los sectores de servicios financieros, fabricación, entretenimiento y tecnología.
A diferencia de las campañas de ransomware convencionales que dependen en gran medida de los ataques centrados en el cifrado, los operadores Crypto24 exhiben una madurez operativa excepcional al cronometrar estratégicamente sus ataques durante las horas de menor actividad para minimizar los riesgos de detección al tiempo que maximizan el potencial de impacto.
El arsenal sofisticado del grupo incluye herramientas legítimas como PSEXEC para el movimiento lateral, AnyDesk para acceso remoto persistente y Keyloggers para la cosecha de credenciales, todos integrados con Google Drive para capacidades de exfiltración de datos sigilosas.
Los actores de amenaza demuestran experiencia técnica avanzada a través de su implementación de una versión personalizada de RealblindingEdr, una herramienta de código abierto diseñada para deshabilitar las soluciones de seguridad.
Tendencia a los micro analistas identificado Esta variante es particularmente peligrosa debido a su capacidad para neutralizar los mecanismos defensivos modernos, probablemente explotando a los impulsores vulnerables desconocidos para lograr el acceso a nivel de núcleo y deshabilitar los sistemas de detección de puntos finales.
La cadena de ataque de ransomware Crypto24 (fuente – Trend Micro)
Lo que diferencia a Crypto24 de otras operaciones de ransomware es su enfoque metódico para comprender las pilas de seguridad empresarial.
El grupo ha estudiado sistemáticamente las arquitecturas defensivas y ha desarrollado herramientas especialmente diseñadas para explotar las debilidades identificadas, lo que representa un cambio peligroso de ataques oportunistas a operaciones específicas e impulsadas por la inteligencia que demuestran paciencia y planificación estratégica poco común en el ransomware de productos básicos.
Evasión avanzada a través de la vida de las tácticas de la tierra
El aspecto más preocupante de la metodología de Crypto24 radica en su explotación magistral de los servicios públicos legítimos de Windows para lograr objetivos maliciosos mientras mantiene el sigilo operativo.
Los atacantes aprovechan GPScript.exe, una utilidad de política de grupo legítima, para ejecutar remotamente el software de seguridad desinstalantes de las acciones de la red, eliminando efectivamente la protección del punto final antes de las fases de movimiento lateral.
Los mecanismos de persistencia del grupo revelan una comprensión sofisticada de la arquitectura de Windows.
Crean múltiples cuentas administrativas con nombres genéricos para evitar la detección durante las auditorías de seguridad de rutina, utilizando comandos estándar net.exe para establecer un acceso privilegiado.
Sus capacidades de reconocimiento son igualmente avanzadas, empleando archivos por lotes como 1.BAT para recopilar inteligencia integral del sistema a través de comandos de instrumentos de administración de Windows (WMIC).
Partition WMIC Obtener nombre, tamaño, tipo WMIC ComputerSystem obtiene TotalPhysicalMemory, subtítulos Net Net Net Localgroup
Quizás lo más preocupante es su implementación de WinMainsvc.dll como un servicio de Keylogger, configurado para capturar credenciales confidenciales mientras se disfraza como procesos legítimos del sistema.
El malware incluye verificaciones de evasión sofisticadas, asegurando la ejecución solo a través de svchost.exe para evitar el análisis de sandbox.
Este keylogger establece capacidades de vigilancia persistentes que duran de la infección inicial, creando riesgos de exposición continuos para organizaciones comprometidas.
La campaña Crypto24 representa un punto de inflexión crítico en la evolución del ransomware, donde los actores de amenaza han ido más allá de los simples esquemas de cifrado para desarrollar plataformas de ataque integrales que estudian, se adapten y derrotan sistemáticamente a las defensas de ciberseguridad modernas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
