En los últimos meses, los investigadores de ciberseguridad han expuesto una red enredada de alianzas ocultas entre las principales operaciones de ransomware, remodelando cómo los defensores perciben estas amenazas.
Históricamente tratadas como entidades distintas (CONTI, Lockbit, Evil Corp y otros, los grupos de ransomware se han convertido en un mercado dinámico donde el código, la infraestructura y el capital humano fluyen libremente entre los operadores.
La transformación se aceleró después de las grandes interrupciones como el derribo Conti a mediados de 2024, lo que obligó a los afiliados a dispersarse y cambiar el nombre de nuevas pancartas.
El resultado es un ecosistema fracturado donde la atribución basada únicamente en los nombres de ransomware es cada vez más poco confiable.
Analistas de Domaineols identificado huellas de infraestructura superpuestas y artefactos binarios compartidos que apuntan a la agrupación de recursos en lugar de las facciones criminales aisladas.
Los registros pasivos DNS, los certificados SSL compartidos y los dominios duplicados de comando y control revelaron que múltiples grupos han aprovechado los mismos proveedores de alojamiento a prueba de balas, lo que sugiere una colaboración directa o afiliaciones comunes a nivel de afiliado.
Mapa analítico (Fuente – Domaintaols)
Estas superposiciones de infraestructura subrayan la necesidad de que los defensores rastreen activos y comportamientos subyacentes en lugar de etiquetas de marca a nivel de superficie.
Más allá de la infraestructura, el análisis detallado del código ha descubierto similitudes sorprendentes en las rutinas de cifrado y los módulos de persistencia.
Un desmontaje comparativo de las etapas del cargador para Black Basta y Qakbot destaca secuencias de código de operación idénticas en el descifrador de residente de memoria, lo que indica la reutilización del código o el linaje directo.
En un caso, el trozo de descifrado que se encuentra en el cargador inicial de Black Basta refleja de cerca la rutina Qakbot, que difiere solo por los valores de desplazamiento:—
for (int i = 0; i
Mecanismo de infección: despliegue sin archivo y persistencia
Profundizar más profundamente en el mecanismo de infección revela un enfoque sofisticado sin archivo diseñado para evadir las defensas de punto final.
Los atacantes primero explotan los servicios de RDP expuestos o los vectores de phishing para implementar un cargador PowerShell ligero en la memoria.
Una vez ejecutado, este cargador utiliza las funciones VirtualAlloc y WriteProcessMemory de la API de Windows para inyectar una carga útil de segunda etapa directamente en el proceso Explorer.exe.
Una táctica de persistencia de muestra implica escribir una clave de registro en HKCU: \ Software \ Microsoft \ Windows \ CurrentVersion \ Run que ejecuta el cargador con parámetros codificados en Base64 en el inicio de sesión del usuario.
Los investigadores de Doma-Domaols señalaron que esta inyección en memoria no solo evita los escaneos AV tradicionales, sino que también aprovecha los binarios del sistema legítimos para combinarse con las operaciones normales.
Al comprender estas alianzas ocultas y tácticas de infección, los equipos de seguridad cibernética pueden priorizar la detección de infraestructura compartida y patrones de código, lo que permite defensas más resistentes contra un paisaje de amenazas definido por la modularidad impulsada por los humanos y el rápido cambio de marca.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
