Grupo de cibercriminales colabora con ransomware Play en importante ciberataque
Los actores de amenazas que están vinculados a Estados rivales se han visto implicados en un incidente que desplegó a una conocida familia de ransomware llamada Play, la cual mostrado sus motivaciones económicas.
Esta actividad, que ha sido observada entre los meses de mayo y septiembre de este año, se ha atribuido a un grupo llamado Jumpy Piscis, conocido con otros nombres en el pasado. Ante esto, los especialistas en ciberseguridad creen con confianza moderada que este grupo ahora está colaborando con Play ransomware, según las declaraciones de especialistas en un informe publicado hace poco.
Este incidente es significativo, debido a que es posible que sea la primera colaboración entre grupos patrocinados por estados y una red encubierta de ransomware expandida por todo el mundo.
Otra pandilla, la cual ha estado activa desde al menos el año 2009, es una afiliada a la Oficina General de Reconocimiento de Corea del Norte, por lo que se ha observado previamente el despliegue de otro par de cepas de ransomware conocidas.
A principios del mes de noviembre, una parte de Broadcom, llamada Symantec, ha señalado que 3 organizaciones diferentes en los Estados Unidos han sido blanco de un intento de hackeo patrocinado por estados.
Este incidente ocurrió en el mes de agosto del 2024 como parte de un ataque probablemente perpetrado por motivos financieros, a pesar de que no se desplegó ransomware en sus redes y en ningún otro lugar.
Por otro lado, Play es una operación de ransomware de la que se cree, ha afectado a más de 300 organizaciones, aproximadamente, a partir del mes de octubre del año pasado. También se le conoce con otros nombres Balloonfly, Fiddling Scorpius y PlayCrypt.
Aunque empresas de ciberseguridad han revelado que la operación podría haber pasado a ser un modelo de ransomware como servicio o RaaS, los hackers maliciosos detrás de Play han anunciado desde entonces en su sitio de filtración de datos de la dark web que este no es el caso.
En otro incidente investigado por expertos, se cree que una sucursal del grupo ha obtenido acceso a inicial por medio de una cuenta de usuario comprometida, hecho acaecido en el mes de mayo de 2024. Esto seguido de la realización de actividades de persistencia y movimiento lateral empleando el marco de comando y control C2 y una puerta trasera a medida llamada Dtrack.
Dichas herramientas remotas han continuado comunicándose con su servidor de comando y control hasta principios de septiembre, según los especialistas en seguridad informática. Estas acciones han terminado, finalmente, en la implementación del ransomware Play.
Del mismo modo, el ataque de este ransomware fue precedido por un agente de amenazas no identificado, el cual se infiltró en la red usando la misma cuenta de usuario comprometida. Después, se pudo observar que realizaba la recolección de credenciales, escalada de privilegios y la desinstalación de sensores de detección y respuesta de endpoints o EDR.
Puede emplearse también como parte del ataque de un troyano binario, el cual es capaz de recolectar el historial del navegador web, así como también, la información de autocompletado y los detalles de la tarjeta de crédito para Google Chrome, Microsoft Edge y Brave.
