Recientemente, una nueva y peligrosa amenaza ha surgido en el ámbito de la ciberseguridad: SharpRhino, un troyano de acceso remoto (RAT) desarrollado por el grupo de ransomware Hunters International. Este malware ha sido diseñado específicamente para atacar a los trabajadores de tecnología de la información (TI) y ha demostrado ser una herramienta efectiva para violar redes corporativas, lo que plantea serias preocupaciones sobre la seguridad de la información en diversas organizaciones.
SharpRhino permite a los atacantes llevar a cabo una serie de actividades maliciosas, comenzando por la infección inicial del sistema. Una vez que el malware se infiltra en un dispositivo, los atacantes pueden elevar sus privilegios dentro del sistema comprometido.
Esto les proporciona acceso a comandos de PowerShell, lo que les permite ejecutar diversas operaciones sin ser detectados. Finalmente, el malware prepara el terreno para la implementación de la carga útil del ransomware, que puede causar daños significativos a la infraestructura de la víctima.
Investigadores de Quorum Cyber han revelado que SharpRhino se distribuye a través de un ingenioso método de typosquatting, donde los atacantes crean un sitio web que se hace pasar por el legítimo Angry IP Scanner, una herramienta de red utilizada frecuentemente por profesionales de TI.
Este enfoque engañoso facilita la difusión del malware, ya que los usuarios desprevenidos pueden caer en la trampa de descargar el archivo malicioso, creyendo que están obteniendo una herramienta legítima.
El malware no es un fenómeno nuevo, pero SharpRhino representa una evolución en las tácticas de los grupos de ransomware. Hunters International, que comenzó a operar a finales de 2023, ha sido identificado como un posible rebranding del grupo Hive, dada la similitud en el código entre ambos.
En lo que va de 2024, este grupo ha llevado a cabo 134 ataques de ransomware a nivel mundial, colocándose entre los diez grupos más activos en el ámbito del cibercrimen.
Las víctimas notables incluyen organizaciones como Austal USA, contratista de la Marina de los EE. UU., el gigante óptico japonés Hoya, Integris Health y el Centro Oncológico Fred Hutch. La elección de estas metas subraya la falta de escrúpulos de los ciberdelincuentes, que no dudan en apuntar a instituciones de gran relevancia.
El funcionamiento de SharpRhino es sofisticado. El malware se presenta como un instalador de 32 bits firmado identificado como ‘ipscan-3.9.1-setup.exe’. Dentro de este instalador se encuentra un archivo 7z autoextraíble que, al ejecutarse, modifica el registro de Windows para garantizar su persistencia en el sistema.
Además, crea accesos directos maliciosos a archivos de Microsoft, específicamente a un binario de Visual Studio que es explotado en este contexto.
Una vez que el malware se ha establecido, elimina archivos críticos, como ‘LogUpdate.bat’, que son utilizados para ejecutar scripts de PowerShell. Esto permite que el malware compile código C# en la memoria, lo que a su vez facilita la ejecución sigilosa de actividades maliciosas.
Para mantener la comunicación con los servidores de comando y control (C2), SharpRhino crea directorios en el sistema que son utilizados para el intercambio de comandos. Dos comandos específicos, ‘delay’ y ‘exit’, están codificados en el malware para gestionar la comunicación y el tiempo de espera entre las solicitudes.
El análisis del malware ha demostrado que tiene la capacidad de ejecutar PowerShell en el host, lo que puede ser utilizado para llevar a cabo una variedad de acciones perjudiciales. Investigadores de Quorum han probado este mecanismo y lograron ejecutar la calculadora de Windows a través de SharpRhino, lo que destaca su potencial para ejecutar comandos dañinos sin levantar sospechas.
Dada la naturaleza de esta amenaza que los profesionales de TI y las organizaciones adopten medidas preventivas. Se recomienda tener cuidado con los resultados patrocinados en motores de búsqueda y activar bloqueadores de anuncios para protegerse de publicidad maliciosa.
Marcar sitios oficiales de herramientas reconocidas es también una práctica esencial para asegurar que solo se descarguen instaladores seguros.
Para mitigar el impacto de ataques de ransomware como los perpetrados por Hunters International, es fundamental establecer un plan de respaldo eficaz, realizar una adecuada segmentación de la red y mantener todos los sistemas y software actualizados.
Estas medidas no solo ayudan a reducir las oportunidades de elevación de privilegios por parte de los atacantes, sino que también mejoran la postura de seguridad general de las organizaciones ante un panorama de amenazas en constante evolución.