Un actor de amenaza de motivación financiera conocido como Lionishackers se ha convertido en un jugador significativo en el mercado ilícito de datos corporativos en los últimos meses.
Aprovechando la orientación oportunista y una preferencia por las víctimas con sede en Asia, el grupo emplea herramientas de inyección SQL automatizadas para violar los servidores de bases de datos, exfiltrarse los registros confidenciales y enumerarlas en venta en foros subterráneos y canales de telegrama.
Aunque no se basa abiertamente en el ransomware, su modelo refleja una forma de “doble extorsión” al monetizar los datos robados directamente en lugar de encriptar y exigir el pago por el descifrado.
Los analistas OUTPOST24 señalaron que Lionishackers inicialmente surgió en septiembre de 2024, estableciendo rápidamente una reputación a través de capturas de pantalla de prueba de compra y extractos de muestra compartidos en múltiples plataformas subterráneas.
La estrategia de comunicación del grupo implica mantener numerosos alias de foro, cada uno vinculado a la información de contacto de telegrama idéntica, evade a largo plazo a largo plazo mientras preserva la divulgación del comprador.
Sus servicios se han diversificado más allá de los registros corporativos para incluir bases de datos de credenciales de correo electrónico y credenciales de correo electrónico, así como ofertas auxiliares como DDOS Botnets y proyectos de alojamiento de foro.
A medida que se aceleró la actividad de los Lionishackers, su impacto en las organizaciones específicas se hizo cada vez más evidente. Las víctimas abarcan organismos gubernamentales, empresas de telecomunicaciones, compañías farmacéuticas, instituciones educativas, cadenas minoristas y, en particular, sitios de juego.
Los conjuntos de datos exfiltrados han incluido información de identificación personal (PII), registros financieros y credenciales de autenticación: elementos fácilmente explotados para el robo de identidad, la adquisición de cuentas o el espionaje corporativo.
Las tácticas del grupo subrayan la creciente potencia del delito cibernético centrado en la base de datos, que puede infligir daños profundos y financieros sin implementar ransomware tradicional.
Outpost24 Investigadores identificado Que la especialización del grupo en ataques basados en SQL y la dependencia de marcos de automatización ampliamente disponibles permitan un compromiso y escala rápidos.
La transición de las ventas de bases de datos aisladas a ofertas adicionales, como la botnet fantasma para DDoS de capa de red, evita su empresa criminal en evolución.
Lionishackers que comercializan la botnet fantasma en telegrama (fuente – Outpost24)
Un anuncio de telegrama que muestra las capacidades de Ghost. Mientras que el proyecto de “foros estresados” de corta duración se lanzó en medio de escrutinio de la policía de incumplimiento de la ley.
Lionishackers que promueven la creación de los foros estresados (fuente – Outpost24)
Mecanismo de infección y tácticas de persistencia
Un examen más detallado revela que los Lionishackers explotan principalmente las vulnerabilidades de inyección SQL en aplicaciones web mal configuradas.
Al aprovechar herramientas como SQLMAP, automatizan el reconocimiento y la entrega de carga útil.
Una secuencia de inyección típica observada por Outpost24 sigue:-
sqlmap -u “https://victim.com/product?id=1” \ -batch –dbs –threads = 5 \ – -tamper = space2comment -time -sec = 10
Este comando sondea para parámetros inyectables, enumera las bases de datos y extrae el contenido de la tabla.
Una vez que se recuperan las credenciales, los atacantes a menudo reutilizan la información de inicio de sesión válida para girar más profundamente en las redes internas.
Lionishackers que usan el alias Capitán Fen muestran preferencia en el compromiso de los sitios de casino (fuente – Outpost24)
La persistencia se logra a través del despliegue de puertas traseras livianas, con frecuencia simples con proyectiles web, invertidos en directorios temporales o disfrazados como scripts de actualización inocuos.
Publicar en Telegram enumerando algunos de los países en los que los leones se especializarían (fuente – Outpost24)
Estos proyectiles facilitan los extracción de datos en curso y sirven como puntos de acceso alternativo si la vulnerabilidad inicial está parcheada.
Al comprender el flujo de trabajo de inyección SQL basado en la automatización de los Lionishackers y su rotación de alias ágil en los foros, los defensores pueden priorizar las reglas de firewall de aplicaciones, mejorar la parametrización de la consulta e implementar un monitoreo continuo para patrones de acceso a la base de datos anómalo.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
