Crypto24 ha estado apuntando a entidades de alto perfil dentro de grandes corporaciones y organizaciones de nivel empresarial. La escala y la sofisticación de los ataques recientes indican un enfoque deliberado en las organizaciones que poseen activos operativos y financieros sustanciales. El grupo ha centrado sus esfuerzos en organizaciones en Asia, Europa y Estados Unidos. Mientras tanto, sus objetivos incluyen empresas en los sectores de servicios financieros, fabricación, entretenimiento y tecnología.
Un actor de amenaza que utiliza una herramienta anti-ENDR personalizada como RealblindingEdRR, que explota potencialmente los impulsores vulnerables nuevos o desconocidos, podría apuntar a varios puntos finales; Sin embargo, el éxito de tal ataque dependería de la fuerza y la integridad de los controles de seguridad implementados en cada punto final.
Si bien las soluciones de comportamiento y las detecciones de patrones pueden bloquear efectivamente el ataque, los puntos finales con configuraciones de seguridad más débiles o protecciones para discapacitados podrían permanecer susceptibles. En tales casos, un atacante podría obtener acceso y realizar acciones como desinstalar soluciones de seguridad a través de scripts administrativos y escritorio remoto con privilegios elevados.
Habilitar la autoprotección del agente en Windows evita que los usuarios locales manipulen o eliminen el agente de Trend. Además, activar las tendencias Característica de autoprotección Asegura que los usuarios locales no puedan manipular o desinstalar ningún producto de tendencia, preservar la integridad del punto final y salvaguardar los controles de seguridad críticos.
La campaña de ransomware Crypto24 destaca la creciente sofisticación operativa y adaptabilidad de los actores de amenaza moderna. Al aprovechar una combinación estratégica de herramientas legítimas de TI, incluidas las utilidades de Psexec, Anydesk y Policy Group, que viven fuera de los binarios de la tierra (LOLBins), malware personalizado y técnicas de evasión avanzadas, los operadores obtienen con éxito acceso inicial, ejecutan movimiento y establecen footholds persistentes dentro de los entornos objetivo.
Nuestro análisis revela que los operadores de Crypto24 son totalmente capaces de identificar y dirigirse a controles específicos de seguridad, incluidas las soluciones EDR y emplear herramientas especialmente diseñadas para evitar las defensas. Los atacantes demuestran una comprensión clara de las pilas de defensa empresarial y la capacidad de eludirlas.
Crypto24 sirve como una advertencia de que los grupos modernos de ransomware son altamente adaptables, se mezclan con las operaciones normales de TI mientras se despliegan ataques. A medida que los actores de amenazas continúan estudiando y maniobrando en torno a las defensas existentes, es importante que los defensores permanezcan ágiles y evalúen, actualicen y refuerzan continuamente su postura de ciberseguridad.
La respuesta rápida de incidentes sigue siendo una parte crítica de la postura de seguridad de una organización. Cuando los actores de amenaza pueden mantener una presencia dentro de una red durante un período prolongado, pueden mapear el entorno, compilar binarios de ransomware personalizados y realizar una extensa exfiltración de datos antes de ejecutar un ataque final. La detección proactiva, la investigación oportuna y la remediación rápida son esenciales para interrumpir tales actividades y minimizar el impacto potencial.
Basarse en la guía descrita en el «Habilitando la autoprotección del agente» Sección, las siguientes recomendaciones pueden ayudar aún más a las organizaciones a fortalecer sus defensas contra ataques avanzados de varias capas, como los empleados por Crypto24.
Auditar y limitar regularmente la creación y el uso de cuentas privilegiadas; Deshabilitar cuentas administrativas predeterminadas no utilizadas.
Limite RDP y el uso de herramientas remotas (por ejemplo, PSEXEC, AnyDesk) a los sistemas autorizados; Habilite MFA y revise rutinariamente las configuraciones de firewall.
Detectar e investigar los usos inusuales de las utilidades de Windows incorporadas y las herramientas de acceso remoto de terceros para obtener signos de movimiento lateral.
Asegúrese de que EDR y otras soluciones de seguridad estén actualizadas y se controlan continuamente para intento de desinstalación o omisión.
A: Inspeccione regularmente las tareas programadas y las creaciones de servicios para actividades no autorizadas o sospechosas.
Monitoree los cambios no autorizados en los archivos clave del sistema y el tráfico de salida inusual, como la exfiltración de datos al almacenamiento en la nube.
Mantenga copias de seguridad regulares fuera de línea y verifique rutinariamente que los procesos de restauración funcionen según lo previsto.
Asegúrese de que todos los sistemas, especialmente aquellos con acceso administrativo, tengan una cobertura y monitoreo de agentes de seguridad adecuados.
Implemente un marco de confianza cero que opera en el principio de «Nunca confíe, siempre verifique».
Entrene a los usuarios sobre los riesgos de phishing y credenciales y mantenga una estrategia efectiva de respuesta a incidentes.
Trend Vision Onemin Es la única plataforma de seguridad cibernética empresarial con IA que centraliza la gestión de la exposición al riesgo cibernético, las operaciones de seguridad y la protección robusta en capas. Este enfoque holístico ayuda a las empresas a predecir y prevenir amenazas, acelerando los resultados de seguridad proactivos en sus respectivos bienes digitales. Con la visión de tendencia uno, puede eliminar los puntos ciegos de seguridad, centrarse en lo que más importa y elevar la seguridad en un socio estratégico para la innovación, especialmente en los casos de nuevas variantes de ransomware como en el que se discute en este blog.
Para mantenerse por delante de las amenazas en evolución, los clientes de tendencia pueden acceder Trend Vision One amenazas de amenazaque proporciona las últimas ideas de la investigación de tendencias sobre amenazas emergentes y actores de amenazas.
Visión de tendencia Uno de los clientes puede usar la aplicación de búsqueda para que coincida o cazar los indicadores maliciosos mencionados en esta publicación de blog con datos en su entorno.
EventsUbid: 101 y ParentFilepath: «C: \ Windows \ System32 \ svchost.exe» y parentCmd: /\-k winmainsvc /y objectFilePath: /windows\\tmp\\.+_\d =4thmh}\.log/
Hay más consultas de caza disponibles para la visión de tendencia que un cliente con los derechos de amenazas se habilita.
Indicadores de compromiso
Se pueden encontrar los indicadores de compromiso para esta entrada aquí.