HomeNews* Un grupo cibernético avanzado llamado Rare Werewolf ha llevado a cabo ataques en Rusia y la Comunidad de Estados Independientes (CIS), enfocándose principalmente en los sectores industrial y educativo.
Los atacantes utilizan herramientas legítimas de terceros y scripts de PowerShell en lugar de malware hecho a medida, lo que dificulta la detección.
Los correos electrónicos de phishing entregan malware oculto dentro de archivos protegidos por contraseña, que despliegan software de minería de criptomonedas y roban datos de usuarios.
Cientos de usuarios rusos, incluidos los de Bielorrusia y Kazajistán, se vieron afectados. Los atacantes se centraron en robar credenciales y habilitar el acceso remoto.
Un grupo separado, DarkGaboon, ha utilizado el Ransomware LockBit 3.0 en ataques motivados financieramente dirigidos a organizaciones rusas desde 2023.
Un grupo cibernético conocido como Rare Werewolf ha sido vinculado a una serie de ciberataques dirigidos a Rusia y otros países de la CEI. Los atacantes utilizaron correos electrónicos de phishing para entregar archivos maliciosos, con el objetivo de obtener acceso remoto, robar credenciales e instalar un software de minería de criptomonedas llamado XMRig. Estos ataques han afectado a varios cientos de usuarios, incluidos los de empresas industriales y escuelas técnicas en Rusia, Bielorrusia y Kazajistán.
Anuncio - Según investigadores de Kaspersky, el grupo evita el malware tradicional, utilizando en su lugar archivos de comandos y scripts de PowerShell combinados con software legítimo para realizar sus ataques. "Una característica distintiva de esta amenaza es que los atacantes prefieren utilizar software legítimo de terceros en lugar de desarrollar sus propios binarios maliciosos," declaró Kaspersky. Los atacantes enviaron correos electrónicos de phishing con archivos comprimidos protegidos por contraseña que contenían archivos ejecutables, a menudo disfrazados como documentos como órdenes de pago.
Una vez dentro del sistema de la víctima, los atacantes instalaron software como 4t Tray Minimizer, que oculta las aplicaciones en ejecución en la bandeja del sistema. También desplegaron herramientas para desactivar el software antivirus y enviar datos robados a cuentas de correo electrónico controladas por atacantes utilizando el programa legítimo Blat. El equipo utilizó el software de escritorio remoto AnyDesk y scripts programados para mantener el acceso durante horas específicas. "Toda la funcionalidad maliciosa todavía depende del instalador, el comando y los scripts de PowerShell", dijo Kaspersky.
Rare Werewolf—también conocido como Librarian Ghouls y Rezet—ha dirigido anteriormente sus ataques a organizaciones en Rusia y Ucrania, con una actividad notable desde 2019. Su estrategia implica aprovechar utilidades bien conocidas para dificultar la detección y atribución.
Por otra parte, Positive Technologies informó de que el grupo DarkGaboon ha estado apuntando a organizaciones rusas desde mediados de 2023. El grupo utiliza correos electrónicos de phishing que contienen archivos de almacenamiento o archivos de protector de pantalla de Windows para activar el ransomware LockBit 3.0 y otros troyanos de acceso remoto, como XWorm y Revenge RAT. Como señaló el investigador de Positive Technologies, Victor Kazakov, "DarkGaboon no es un cliente del servicio LockBit RaaS y actúa de forma independiente..." El grupo utiliza versiones públicas de LockBit y amenaza con filtrar datos robados en línea.
Estas actividades destacan las amenazas continuas a las organizaciones en Rusia y en las regiones circundantes, con atacantes que dependen de herramientas de software comunes y legítimas para evadir la detección y complicar la atribución.
Artículos Anteriores:
Ant International, Deutsche Bank se asocian para explorar el lanzamiento de stablecoin
SG Forge de SocGen lanza una stablecoin en dólares estadounidenses en Ethereum, Solana
Canary Capital Forma un Fideicomiso en Delaware para el Potencial ETF de Injective (INJ)
Las mujeres pierden $50,000 en estafas de criptomonedas tras hacer clic en anuncios de Facebook de PM
La SEC propone la 'Exención de Innovación' para impulsar productos de criptomonedas en cadena
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Rare Werewolf APT golpea a Rusia con Minería Cripto y ataques de robo de datos
HomeNews* Un grupo cibernético avanzado llamado Rare Werewolf ha llevado a cabo ataques en Rusia y la Comunidad de Estados Independientes (CIS), enfocándose principalmente en los sectores industrial y educativo.
Una vez dentro del sistema de la víctima, los atacantes instalaron software como 4t Tray Minimizer, que oculta las aplicaciones en ejecución en la bandeja del sistema. También desplegaron herramientas para desactivar el software antivirus y enviar datos robados a cuentas de correo electrónico controladas por atacantes utilizando el programa legítimo Blat. El equipo utilizó el software de escritorio remoto AnyDesk y scripts programados para mantener el acceso durante horas específicas. "Toda la funcionalidad maliciosa todavía depende del instalador, el comando y los scripts de PowerShell", dijo Kaspersky.
Rare Werewolf—también conocido como Librarian Ghouls y Rezet—ha dirigido anteriormente sus ataques a organizaciones en Rusia y Ucrania, con una actividad notable desde 2019. Su estrategia implica aprovechar utilidades bien conocidas para dificultar la detección y atribución.
Por otra parte, Positive Technologies informó de que el grupo DarkGaboon ha estado apuntando a organizaciones rusas desde mediados de 2023. El grupo utiliza correos electrónicos de phishing que contienen archivos de almacenamiento o archivos de protector de pantalla de Windows para activar el ransomware LockBit 3.0 y otros troyanos de acceso remoto, como XWorm y Revenge RAT. Como señaló el investigador de Positive Technologies, Victor Kazakov, "DarkGaboon no es un cliente del servicio LockBit RaaS y actúa de forma independiente..." El grupo utiliza versiones públicas de LockBit y amenaza con filtrar datos robados en línea.
Estas actividades destacan las amenazas continuas a las organizaciones en Rusia y en las regiones circundantes, con atacantes que dependen de herramientas de software comunes y legítimas para evadir la detección y complicar la atribución.
Artículos Anteriores: