Ciberamenazas actuales

Alerta en ciberseguridad: El ransomware SharpRhino ataca a profesionales de TI

Recientemente, una nueva y peligrosa amenaza ha surgido en el ámbito de la ciberseguridad: SharpRhino, un troyano de acceso remoto (RAT) desarrollado por el grupo de ransomware Hunters International. Este malware ha sido diseñado específicamente para atacar a los trabajadores de tecnología de la información (TI) y ha demostrado ser una herramienta efectiva para violar redes corporativas, lo que plantea serias preocupaciones sobre la seguridad de la información en diversas organizaciones.

SharpRhino permite a los atacantes llevar a cabo una serie de actividades maliciosas, comenzando por la infección inicial del sistema. Una vez que el malware se infiltra en un dispositivo, los atacantes pueden elevar sus privilegios dentro del sistema comprometido.

Esto les proporciona acceso a comandos de PowerShell, lo que les permite ejecutar diversas operaciones sin ser detectados. Finalmente, el malware prepara el terreno para la implementación de la carga útil del ransomware, que puede causar daños significativos a la infraestructura de la víctima.

Investigadores de Quorum Cyber han revelado que SharpRhino se distribuye a través de un ingenioso método de typosquatting, donde los atacantes crean un sitio web que se hace pasar por el legítimo Angry IP Scanner, una herramienta de red utilizada frecuentemente por profesionales de TI.

Este enfoque engañoso facilita la difusión del malware, ya que los usuarios desprevenidos pueden caer en la trampa de descargar el archivo malicioso, creyendo que están obteniendo una herramienta legítima.

El malware no es un fenómeno nuevo, pero SharpRhino representa una evolución en las tácticas de los grupos de ransomware. Hunters International, que comenzó a operar a finales de 2023, ha sido identificado como un posible rebranding del grupo Hive, dada la similitud en el código entre ambos.

En lo que va de 2024, este grupo ha llevado a cabo 134 ataques de ransomware a nivel mundial, colocándose entre los diez grupos más activos en el ámbito del cibercrimen.

Las víctimas notables incluyen organizaciones como Austal USA, contratista de la Marina de los EE. UU., el gigante óptico japonés Hoya, Integris Health y el Centro Oncológico Fred Hutch. La elección de estas metas subraya la falta de escrúpulos de los ciberdelincuentes, que no dudan en apuntar a instituciones de gran relevancia.

El funcionamiento de SharpRhino es sofisticado. El malware se presenta como un instalador de 32 bits firmado identificado como ‘ipscan-3.9.1-setup.exe’. Dentro de este instalador se encuentra un archivo 7z autoextraíble que, al ejecutarse, modifica el registro de Windows para garantizar su persistencia en el sistema.

Además, crea accesos directos maliciosos a archivos de Microsoft, específicamente a un binario de Visual Studio que es explotado en este contexto.

Una vez que el malware se ha establecido, elimina archivos críticos, como ‘LogUpdate.bat’, que son utilizados para ejecutar scripts de PowerShell. Esto permite que el malware compile código C# en la memoria, lo que a su vez facilita la ejecución sigilosa de actividades maliciosas.

Para mantener la comunicación con los servidores de comando y control (C2), SharpRhino crea directorios en el sistema que son utilizados para el intercambio de comandos. Dos comandos específicos, ‘delay’ y ‘exit’, están codificados en el malware para gestionar la comunicación y el tiempo de espera entre las solicitudes.

El análisis del malware ha demostrado que tiene la capacidad de ejecutar PowerShell en el host, lo que puede ser utilizado para llevar a cabo una variedad de acciones perjudiciales. Investigadores de Quorum han probado este mecanismo y lograron ejecutar la calculadora de Windows a través de SharpRhino, lo que destaca su potencial para ejecutar comandos dañinos sin levantar sospechas.

Dada la naturaleza de esta amenaza que los profesionales de TI y las organizaciones adopten medidas preventivas. Se recomienda tener cuidado con los resultados patrocinados en motores de búsqueda y activar bloqueadores de anuncios para protegerse de publicidad maliciosa.

Marcar sitios oficiales de herramientas reconocidas es también una práctica esencial para asegurar que solo se descarguen instaladores seguros.

Para mitigar el impacto de ataques de ransomware como los perpetrados por Hunters International, es fundamental establecer un plan de respaldo eficaz, realizar una adecuada segmentación de la red y mantener todos los sistemas y software actualizados.

Estas medidas no solo ayudan a reducir las oportunidades de elevación de privilegios por parte de los atacantes, sino que también mejoran la postura de seguridad general de las organizaciones ante un panorama de amenazas en constante evolución.

Prevención: Cómo Minimizar el Riesgo de Ataques de Ransomware

  1. Educación y Concienciación del Personal: La capacitación regular de los empleados sobre las mejores prácticas de seguridad cibernética es fundamental. Esto incluye reconocer correos electrónicos sospechosos, enlaces maliciosos y tácticas de ingeniería social. Asegúrate de que todos los miembros del equipo entiendan los riesgos y cómo evitarlos.
  2. Actualización de Software y Sistemas: Mantener todos los sistemas operativos y software actualizados es esencial para cerrar brechas de seguridad. Las actualizaciones suelen incluir parches que corrigen vulnerabilidades que los atacantes pueden explotar.
  3. Implementación de Copias de Seguridad Regulares: Realizar copias de seguridad frecuentes y almacenar los datos en un lugar seguro, desconectado de la red principal, puede ser una salvaguarda efectiva. En caso de un ataque, las organizaciones pueden restaurar la información sin tener que ceder a las demandas de los atacantes.
  4. Segmentación de la Red: Dividir la red en segmentos más pequeños puede limitar el movimiento lateral de los atacantes. Si una parte de la red se ve comprometida, la segmentación puede ayudar a contener el ataque y proteger otros sistemas.
  5. Uso de Soluciones de Seguridad Avanzadas: Implementar firewalls, software antivirus y soluciones de detección y respuesta ante amenazas puede ayudar a identificar y neutralizar actividades sospechosas antes de que causen daños significativos.
  6. Control de Acceso Basado en Privilegios: Limitar el acceso a sistemas y datos sensibles solo a aquellos que lo necesiten puede reducir las oportunidades de los atacantes. Utilizar autenticación multifactor (MFA) también añade una capa adicional de seguridad.
  7. Monitoreo y Auditoría Constantes: Realizar auditorías de seguridad regularmente y monitorear los sistemas en tiempo real para detectar actividades inusuales puede ayudar a identificar posibles amenazas antes de que se conviertan en un problema mayor.
  8. Plan de Respuesta a Incidentes: Desarrollar y ensayar un plan de respuesta a incidentes permitirá a la organización actuar rápidamente en caso de un ataque, minimizando el daño y la interrupción del negocio.

Ten la tranquilidad de
que tu empresa está protegida