Los ex miembros la banda de Ransomware Conti, se han asociado con los actores de amenazas rusos, FIN7, para distribuir una nueva familia de malware llamada «Domino», que será utilizado para realizar ataques a redes corporativas de gran valor.
«Domino» es una familia de malware relativamente nueva que consta de dos componentes, una puerta trasera llamada «Domino Backdoor», que a su vez deja caer un «Domino Loader» que inyecta un archivo DLL de malware que roba información en la memoria de otro proceso.
Los investigadores de inteligencia de seguridad de IBM han estado rastreando a ex miembros de Conti y TrickBot, utilizando el nuevo malware en ataques desde febrero de 2023.
Sin embargo, en un nuevo informe de IBM publicado el viernes, vincula el desarrollo real del malware Domino con el grupo de FIN7, un grupo de ciberdelincuentes vinculado a una variedad de malware y las operaciones de ransomware BlackBasta y DarkSide.
Según el informe. desde el otoño de 2022, los investigadores de IBM han estado rastreando los ataques utilizando un loader de malware llamado «Dave Loader» que está vinculado a ex miembros del ransomware Conti y TrickBot.
Este Loader fue visto desplegando diversas balizas de Cobalt Strike que utilizan la marca de agua «206546002«, observada en ataques de ex miembros de Conti en las operaciones de ransomware Royal y Play. Curioso, ¿no?
IBM dice que también se ha visto a Dave Loader implementando Emotet, que fue utilizado casi exclusivamente por la operación de ransomware Conti en junio de 2022, y luego por las bandas de ransomware BlackBasta y Quantum.
Sin embargo, más recientemente, IBM dice que han visto a Dave Loader instalar la nueva familia de malware Domino.
Domino Backdoor es un archivo .DLL de 64 bits que enumerará la información del sistema, como los procesos en ejecución, los nombres de usuario, los nombres de las computadoras, y la enviará de regreso al servidor de comando y control del atacante. La puerta trasera también recibe comandos para ejecutar o más payloads para instalar.
Se ha visto que la puerta trasera descargaba un cargador adicional, Domino Loader, que instala un stealer de información bajado en .NET integrado llamado «Proyecto Nemesis». También puede plantar una baliza Cobalt Strike, para una mayor persistencia.
«Domino Backdoor está diseñado para contactar una dirección C2 diferente para sistemas unidos a un domino, lo que sugiere que una puerta trasera más capaz, como Cobalt Strike, se descargará en objetivos de mayor valor en lugar de Project Nemesis«, explican los investigadores de IBM Charlotte Hammond y Ole. Villadsen.
Project Nemesis es un malware de robo de información estándar que puede recopilar credenciales almacenadas en navegadores y aplicaciones, billeteras de criptomonedas e historial del navegador. Un stealer bien completo en muchos aspectos.
Ex-miembros de Conti se unen a FIN7
Los actores de amenazas, especialmente aquellos que utilizan ransomware, comúnmente se asocian con otros grupos de amenazas para distribuir malware y para realizar actividades de acceso inicial a las redes corporativas. Total, es su «trabajo».
Por ejemplo, TrickBot, Emotet, BazarBackdoor y QBot (aka QakBot) tienen un largo historial de brindar accesos iniciales a operaciones de ransomware , como REvil, Maze, Egregor, BlackBasta, Ryuk y Conti. A todas las grandes bandas en resumen.
Con el tiempo, las líneas entre los desarrolladores de malware y las bandas de ransomware se han vuelto turbias, lo que dificulta distinguir entre las dos operaciones de cada uno.
Con la formación del sindicato de delitos cibernéticos Conti, estas líneas se desvanecieron aún más cuando la operación de ransomware asumió el control del desarrollo de TrickBot y BazarBackdoor para sus propias operaciones.
Además, después de que Conti cerró , la operación de ransomware se dividió en células más pequeñas, con miembros fueron moviéndose por todo el espacio de ransomware, incluidos Royal , Play, Quantum/Zeon/Dagon, BlackBasta, LockBit, etc.
IBM ha atribuido la familia de malware Domino a FIN7, debido a una gran cantidad de códigos superpuestos con Lizar (también conocido como Tirion y DiceLoader), un conjunto de herramientas posterior a la explotación asociado con FIN7.
Además, IBM descubrió que un loader llamado «NewWorldOrder», que normalmente se usa en los ataques Carbanak de FIN7, se usó recientemente para impulsar el malware Domino.
Entonces, en una empresa conjunta y confusa, tenemos a Dave Loader (TrickBot/Conti) impulsando el malware Domino (FIN7), que a su vez implementa las balizas Project Nemesis o Cobalt Strike que se cree que están asociadas con la actividad de ransomware de ex miembros de Conti.
Esto significa que los defensores tienen que lidiar con una red confusa de actores de amenazas, todos con malware que permite el acceso remoto a las redes. Estas alianzas y trabajo de equipo de los actores de amenazas es un nuevo desafío para todos los que trabajamos en ciberseguridad. Es por ello que se recomienda el que las organizaciones nunca dejen de estar al día sobre las amenazas y que nunca dejen algo por sentado, en especial cuando hablamos de las evoluciones del cibercrimen en tiempos mordernos.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
