El ransomware Quantum se ha desplegado en ataques rápidos a la red

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

El ransomware Quantum, una cepa descubierta por primera vez en agosto de 2021, fue visto llevando a cabo ataques rápidos que escalan rápidamente, dejando a los defensores poco tiempo para reaccionar.

Los actores de la amenaza utilizan el malware IcedID como uno de sus vectores de acceso inicial, que despliega Cobalt Strike para el acceso remoto y conduce al robo de datos y al cifrado mediante Quantum Locker.

Los detalles técnicos de un ataque de ransomware Quantum fueron analizados por los investigadores de seguridad de The DFIR Report, quienes afirman que el ataque duró sólo 3 horas y 44 minutos desde la infección inicial hasta la finalización del cifrado de los dispositivos.

El ataque visto por The DFIR Report utilizó el malware IcedID como acceso inicial a la máquina del objetivo, que creen que llegó a través de un correo electrónico de phishing que contenía un archivo ISO adjunto.

IcedID es un troyano bancario modular utilizado durante los últimos cinco años, principalmente para el despliegue de cargas útiles de segunda etapa, cargadores y ransomware.

La combinación de IcedID y archivos ISO se ha utilizado recientemente en otros ataques, ya que estos archivos son excelentes para pasar los controles de seguridad del correo electrónico.

Dos horas después de la infección inicial, los actores de la amenaza inyectan Cobalt Strike en un proceso C:\Windows\SysWOW64\cmd.exe para evadir la detección.

En esta fase, los intrusos robaron las credenciales de dominio de Windows volcando la memoria de LSASS, lo que les permitió propagarse lateralmente por la red.

Finalmente, los actores de la amenaza utilizaron WMI y PsExec para desplegar la carga útil del ransomware Quantum y cifrar los dispositivos.

Este ataque sólo duró cuatro horas, lo cual es bastante rápido, y como estos ataques suelen producirse a última hora de la noche o durante el fin de semana, no proporciona una gran ventana para que los administradores de red y seguridad detecten y respondan al ataque.

Para más detalles sobre los TTPs utilizados por Quantum Locker, el Informe DFIR ha proporcionado una extensa lista de indicadores de compromiso, así como las direcciones C2 a las que IcedID y Cobalt Strike se conectaron para comunicarse.

Info – Ciberseguridad Latam

Especialista en Tecnología #Ciberseguridad #CISO #ComputerForensic #Coach Mail público http://mypublicinbox.com/ingabreuortiz

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *