SharpRhino RAT
El grup Hunters International Ransomware ha desenvolupat un nou troià d'accés remot (RAT) C# anomenat SharpRhino per orientar-se als treballadors de TI i infiltrar-se a les xarxes corporatives. Aquest programari maliciós facilita la infecció inicial, l'escalada de privilegis en sistemes compromesos, l'execució d'ordres de PowerShell i, finalment, el desplegament de ransomware.
Els investigadors de ciberseguretat han identificat que el programari maliciós s'està estenent a través d'un lloc de typosquatting que imita el lloc web d'Angry IP Scanner, una eina de xarxa popular utilitzada pels professionals de les TI.
Taula de continguts
Possible canvi de marca del grup de ciberdelinqüència anterior
Se sospita que The Hunters International , una operació de ransomware llançada a finals de 2023, és un canvi de marca de Hive a causa de les similituds en el seu codi. Entre les seves víctimes notables hi ha Austal USA, un contractista de la Marina dels Estats Units, el gegant japonès de l'òptica Hoya, Integris Health i el Fred Hutch Cancer Center, destacant el menyspreu del grup pels límits ètics.
El 2024, el grup va reivindicar la responsabilitat de 134 atacs de ransomware a organitzacions de tot el món (excloent les de la regió de la CEI), convertint-se en el desè grup de ransomware més actiu aquest any.
Com funciona el SharpRhino RAT?
SharpRhino es distribueix com a instal·lador de 32 bits signat digitalment ('ipscan-3.9.1-setup.exe') que inclou un arxiu 7z autoextractiu i protegit amb contrasenya que conté fitxers addicionals necessaris per al procés d'infecció. Després de la instal·lació, el programari altera el registre de Windows per a la persistència i crea una drecera a Microsoft.AnyKey.exe, un binari de Microsoft Visual Studio que s'utilitza malament en aquest context.
L'instal·lador també deixa anar "LogUpdate.bat", que executa scripts de PowerShell al dispositiu per compilar codi C# a la memòria, permetent l'execució furtiva de programari maliciós. Per a la redundància, l'instal·lador crea dos directoris: "C:\ProgramData\Microsoft: WindowsUpdater24" i "LogUpdateWindows", tots dos s'utilitzen per a la comunicació d'ordres i control (C2).
El programari maliciós té dues ordres codificades: "retard", que estableix el temporitzador per a la següent sol·licitud POST per recuperar una ordre, i "sortir", que finalitza la seva comunicació. L'anàlisi revela que el programari maliciós pot executar ordres de PowerShell a l'amfitrió, cosa que li permet realitzar diverses accions perjudicials.
Els ciberdelinqüents utilitzen llocs falsos imitant eines legítimes
The Hunters International ha adoptat una nova estratègia d'utilitzar llocs web que imiten eines legítimes d'escaneig de xarxa de codi obert per orientar-se als professionals de TI, amb l'objectiu d'infringir comptes amb privilegis elevats.
Els usuaris han de tenir cura dels resultats de la cerca patrocinada per evitar publicitat maliciosa, utilitzar bloquejadors d'anuncis per evitar que apareguin aquests resultats i marcar els llocs oficials del projecte coneguts per oferir instal·ladors segurs. Per debilitar l'impacte dels atacs de ransomware, implementeu un pla de còpia de seguretat sòlid, practiqueu la segmentació de la xarxa i manteniu tot el programari actualitzat per minimitzar les oportunitats d'escalada de privilegis i moviment lateral.
