RATA SharpRhino
El grupo Hunters International Ransomware ha desarrollado un nuevo troyano de acceso remoto (RAT) en C# llamado SharpRhino para atacar a los trabajadores de TI e infiltrarse en las redes corporativas. Este malware facilita la infección inicial, la escalada de privilegios en sistemas comprometidos, la ejecución de comandos de PowerShell y, en última instancia, la implementación de ransomware.
Los investigadores de ciberseguridad han identificado que el malware se está propagando a través de un sitio con errores tipográficos que imita el sitio web de Angry IP Scanner, una popular herramienta de red utilizada por los profesionales de TI.
Tabla de contenido
Posible cambio de marca del anterior grupo de delitos cibernéticos
Se sospecha que Hunters International , una operación de ransomware lanzada a finales de 2023, es un cambio de marca de Hive debido a las similitudes en su código. Entre sus víctimas notables se encuentran Austal USA, un contratista de la Marina de los EE. UU., el gigante japonés de la óptica Hoya, Integris Health y el Fred Hutch Cancer Center, lo que destaca el desprecio del grupo por los límites éticos.
En 2024, el grupo se atribuyó la responsabilidad de 134 ataques de ransomware a organizaciones de todo el mundo (excluidas las de la región de la CEI), lo que lo convierte en el décimo grupo de ransomware más activo este año.
¿Cómo funciona SharpRhino RAT?
SharpRhino se distribuye como un instalador de 32 bits firmado digitalmente ('ipscan-3.9.1-setup.exe') que incluye un archivo 7z autoextraíble y protegido con contraseña que contiene archivos adicionales necesarios para el proceso de infección. Tras la instalación, el software altera el registro de Windows para lograr persistencia y crea un acceso directo a Microsoft.AnyKey.exe, un binario de Microsoft Visual Studio que se utiliza incorrectamente en este contexto.
El instalador también coloca 'LogUpdate.bat', que ejecuta scripts de PowerShell en el dispositivo para compilar código C# en la memoria, lo que permite la ejecución sigilosa de malware. Para lograr redundancia, el instalador crea dos directorios: 'C:\ProgramData\Microsoft: WindowsUpdater24' y 'LogUpdateWindows', los cuales se utilizan para la comunicación de comando y control (C2).
El malware tiene dos comandos codificados: "retraso", que configura el temporizador para la siguiente solicitud POST para recuperar un comando, y "salida", que finaliza su comunicación. El análisis revela que el malware puede ejecutar comandos de PowerShell en el host, lo que le permite realizar diversas acciones dañinas.
Los ciberdelincuentes utilizan sitios falsos que imitan herramientas legítimas
Hunters International ha adoptado una nueva estrategia de utilizar sitios web que imitan herramientas legítimas de escaneo de red de código abierto para atacar a los profesionales de TI, con el objetivo de violar cuentas con privilegios elevados.
Los usuarios deben tener cuidado con los resultados de búsqueda patrocinados para evitar la publicidad maliciosa, utilizar bloqueadores de anuncios para evitar que aparezcan estos resultados y marcar sitios oficiales de proyectos conocidos por proporcionar instaladores seguros. Para debilitar el impacto de los ataques de ransomware, implemente un plan de respaldo sólido, practique la segmentación de la red y mantenga todo el software actualizado para minimizar las oportunidades de escalada de privilegios y movimiento lateral.
