La pandilla de ransomware NoName, también conocida como CosmicBeetle, ha estado trabajando para establecer una reputación en el panorama de amenazas durante más de tres años, apuntando principalmente a pequeñas y medianas empresas con sus herramientas de cifrado. Recientemente, se ha asociado con el malware RansomHub, ampliando su arsenal de ciberamenazas.
NoName ha utilizado una variedad de técnicas y herramientas para comprometer redes. Entre sus métodos de ataque, destacan el uso de herramientas personalizadas de la familia de malware Spacecolon, que incluyen técnicas como fuerza bruta y explotación de vulnerabilidades conocidas, como EternalBlue (CVE-2017-0144) y ZeroLogon (CVE-2020-1472).
Estas vulnerabilidades han sido utilizadas para obtener acceso inicial a las redes antes de desplegar el ransomware.
Recientemente, NoName ha comenzado a utilizar el ransomware ScRansom, que reemplaza al cifrador anterior, Scarab. ScRansom es un malware de cifrado basado en Delphi, que, aunque no es tan avanzado como otras amenazas en el mercado, sigue siendo una amenaza significativa debido a su capacidad para cifrar archivos en todas las unidades y su modo "ERASE", que hace que los archivos sean irrecuperables.
ScRansom utiliza una combinación de cifrado AES-CTR-128 y RSA-1024 para proteger los archivos cifrados, junto con una clave AES adicional para proteger la clave pública. Sin embargo, el proceso de cifrado, que implica múltiples intercambios de claves, puede ser propenso a errores que impiden la recuperación de archivos, incluso cuando se utilizan las claves correctas.
En algunos casos, como el de una víctima que recibió 31 identificaciones de descifrado, la recuperación total de los archivos cifrados ha resultado complicada.
Además, ScRansom implementa medidas para desactivar procesos y servicios en Windows que podrían interferir con su funcionamiento, como Windows Defender y herramientas asociadas con VMware. Esto demuestra un enfoque sofisticado para evadir la detección y maximizar el impacto del ataque.
NoName ha explotado varias vulnerabilidades en entornos SMB y otras configuraciones de red para facilitar sus ataques. Estas incluyen:
- **CVE-2017-0144 (EternalBlue)**
- **CVE-2023-27532 (Veeam Backup Component)**
- **CVE-2021-42278 y CVE-2021-42287 (Escalada de Privilegios de Active Directory)**
- **CVE-2022-42475 (FortiOS SSL-VPN)**
- **CVE-2020-1472 (Zerologon)**
Además, el informe de Pure7 destaca la explotación de CVE-2017-0290 a través de un archivo por lotes que desactiva Windows Defender, una técnica que muestra la adaptabilidad y la persistencia del grupo en evadir mecanismos de ciberseguridad.
NoName ha mostrado una clara intención de mejorar su visibilidad y eficacia en el campo del ransomware al adoptar el malware RansomHub. En septiembre de 2023, el grupo estableció un sitio de extorsión en la dark web bajo la marca 'NONAME', que era una copia modificada del sitio de filtración de datos de LockBit. Este movimiento se enmarca en una estrategia para abusar de la marca de competidores establecidos y aprovechar las herramientas de ransomware de éxito comprobado.
Los investigadores también descubrieron que, en algunos incidentes, NoName desplegó muestras de LockBit mientras mantenía identificaciones de víctimas vinculadas a CosmicBeetle. Esto sugiere una integración de herramientas y técnicas que refuerzan la teoría de que NoName se ha convertido en un afiliado de RansomHub.
A pesar de que la afiliación exacta de NoName con RansomHub no está confirmada de manera concluyente, las evidencias indican una clara asociación y un uso creciente de técnicas y herramientas avanzadas de ransomware. El grupo sigue en evolución, como lo demuestra el desarrollo activo de ScRansom y la implementación de estrategias para mejorar su alcance y efectividad. La combinación de estos factores subraya la amenaza continua que representan para las organizaciones globales, especialmente aquellas que operan en sectores vulnerables o con medidas de seguridad insuficientes.
1. Actualizaciones y Parches: Mantén todos los sistemas operativos y aplicaciones actualizados. Aplica parches de seguridad para corregir vulnerabilidades conocidas que los atacantes podrían explotar.
2. Software Antivirus y Antimalware: Utiliza software antivirus y antimalware actualizado. Asegúrate de que esté configurado para realizar análisis en tiempo real y escaneos periódicos.
3. Copia de Seguridad Regular: Realiza copias de seguridad periódicas de tus datos importantes y almacénalas en un lugar seguro, preferiblemente fuera de línea o en una red aislada. Esto garantiza que puedas restaurar tus datos en caso de un ataque de ransomware.
4. Educación y Capacitación: Capacita a los usuarios para reconocer correos electrónicos de phishing y otras tácticas de ingeniería social. La educación es crucial para evitar que los empleados abran archivos o hagan clic en enlaces sospechosos.
5. Políticas de Acceso y Control de Privilegios: Implementa políticas de acceso estrictas y asegúrate de que los usuarios solo tengan los permisos necesarios para realizar sus funciones.
Limita los privilegios administrativos y usa cuentas con menor nivel de acceso cuando sea posible.
6. Desactivación de Servicios Innecesarios: Desactiva servicios y protocolos innecesarios que puedan ser utilizados por ransomware para propagarse. Por ejemplo, considera deshabilitar SMB (Server Message Block) si no es necesario.
7. Monitorización y Respuesta: Implementa soluciones de monitorización para detectar actividades inusuales en la red. Establece un plan de respuesta a incidentes que incluya procedimientos específicos para manejar un posible ataque de ransomware.
8. Autenticación Multifactor (MFA): Utiliza autenticación multifactor para todas las cuentas críticas y de administración. Esto añade una capa adicional de seguridad y dificulta el acceso no autorizado.
9. Revisión de Configuraciones: Revisa y ajusta regularmente las configuraciones de seguridad de tus sistemas para adaptarlas a las mejores prácticas actuales y las nuevas amenazas emergentes.