Novedades

El ataque se basa en la simplicidad para ocultarse a simple vista, sin necesidad de desarrollar herramientas sofisticadas o exploits.

Utilizan más de 80 herramientas y scripts únicos, el grupo ejecuta sus ataques durante largos períodos de tiempo, mezclándose con el entorno del objetivo y pasando completamente desapercibido mientras libera silenciosamente a las organizaciones de grandes cantidades de dinero. 

Elephant Beetle parece enfocarse principalmente en objetivos latinoamericanos.

El grupo es muy competente con los ataques basados ​​en Java y, en muchos casos, tiene como objetivo aplicaciones Java heredadas que se ejecutan en máquinas basadas en Linux como medio de entrada inicial al entorno. Más allá de eso, el grupo incluso implementa su propia aplicación web Java completa en las máquinas de las víctimas para cumplir sus órdenes mientras la máquina también ejecuta aplicaciones legítimas.

Elephant Beetle opera en un patrón sigiloso y bien organizado, realizando de manera eficiente cada fase de su plan de ataque una vez dentro de un entorno comprometido:

Durante la primera fase, que puede durar hasta un mes, el grupo se enfoca en desarrollar capacidades cibernéticas operativas dentro de la organización infectada . El grupo estudia el panorama digital y planta backdoors mientras personaliza sus herramientas para trabajar dentro de la red de la víctima.

En una segunda fase, el grupo pasa varios meses estudiando este entorno, enfocándose en la operación financiera e identificando cualquier falla. Durante esta etapa, observan el software y la infraestructura para comprender el proceso técnico de las transacciones financieras legítimas.

El grupo crea transacciones fraudulentas en el medio ambiente durante la tercera fase. Estas transacciones imitan el comportamiento legítimo y extraen cantidades incrementales de dinero de la víctima. Aunque la cantidad de dinero robado en una sola transacción puede parecer insignificante, el grupo acumula numerosas transacciones por lo que asciende a millones de dólares.

Si durante sus esfuerzos se descubre y bloquea cualquier actividad de robo, el grupo simplemente permanece oculto durante unos meses solo para regresar y apuntar a un sistema diferente.

Una vez que el servidor web se ha visto comprometido, el atacante utiliza un escáner Java personalizado que obtiene una lista de direcciones IP para un puerto específico o una interfaz HTTP.

Habiendo identificado posibles puntos de pivote del servidor interno, los actores usan credenciales comprometidas o fallas de RCE para propagarse lateralmente a otros dispositivos en la red.

Una familia de ransomware emergente que se autodenomina Avos Locker ha estado intensificando los ataques al mismo tiempo que realiza un esfuerzo significativo para deshabilitar los productos de seguridad de endpoints.

Sophos Rapid Response descubrió que los atacantes habían iniciado sus computadoras de destino en modo seguro para ejecutar el ransomware, como lo habían hecho los operadores de las ahora desaparecidas familias de ransomware Snatch , REvil y BlackMatter.

La razón de esto es que muchos, si no la mayoría, de los productos de seguridad de endpoints no se ejecutan en modo seguro, una configuración de diagnóstico especial en la que Windows desactiva la mayoría de los controladores y el software de terceros, y puede hacer que las máquinas protegidas no sean seguras.

Los atacantes de Avos Locker no solo reinician las máquinas en modo seguro para las etapas finales del ataque. También, modifican la configuración de inicio del modo seguro para poder instalar y usar la herramienta comercial de administración de TI AnyDesk mientras las computadoras con Windows aún se ejecutaban en modo seguro. 

Los atacantes también parecen haber aprovechado otra herramienta comercial de administración de TI conocida como PDQ Deploy para enviar scripts por lotes de Windows a las máquinas que planeaban atacar.

RECOMENDACIONES:

Trabajar en Modo seguro hace que proteger las computadoras sea aún más difícil, porque Microsoft no permite que las herramientas de seguridad de endpoints se ejecuten en Modo seguro.

Los productos de Sophos detectan, por comportamiento, el uso de varias claves de registro Run y ​​RunOnce para hacer cosas como por ejemplo reiniciar en modo seguro o ejecutar archivos después de un reinicio. 

• Mantén el software actualizado y active las actualizaciones automáticas siempre que sea posible
• Aplicar políticas de contraseñas seguras y autenticación multifactor (MFA)
• Realice copias de seguridad y pruebe periódicamente su restauración.
• Reduzca la superficie de ataque mediante la eliminación de servicios y software no utilizados o innecesarios
• Mitigar los ataques de fuerza bruta.
• Habilite la protección contra manipulaciones para evitar que los atacantes desinstalen su software de seguridad.

HASHES:

1. MD5 e09183041930f37a38d0a776a63aa673
2. MD5 27fc2796210dc3bfdede6a69ac8fa3dd
3. MD5 825d6049ba8600ee5fefd817ac5444b4
4. MD5 377676b06b8a28e60d638ab67df2bdb0
5. MD5 40f2238875fcbd2a92cfefc4846a15a8
6. MD5 b76d1d3d2d40366569da67620cf78a87
7. SHA-1 05c63ce49129f768d31c4bdb62ef5fb53eb41b54
8. SHA-1 b86ece05d5adbd421b0e50709ce95d25a79ea46e
9. SHA-1 31c4dfbf7029c5ca8334042faaf906477be1ec17
10. SHA-1 c8ef1f4a8cba7f04497a1b83011b4945d5274bbc
11. SHA-1 06dce6a5df6ee0099602863a47e2cdeea4e34764
12. SHA-1 ae23c0227afc973f11d6d08d898a6bb7516418e2
13. SHA-256 7c935dcd672c4854495f41008120288e8e1c144089f1f06a23bd0a0f52a544b1
14. SHA-256 f810deb1ba171cea5b595c6d3f816127fb182833f7a08a98de93226d4f6a336f
15. SHA-256 c0a42741eef72991d9d0ee8b6c0531fc19151457a8b59bdcf7b6373d1fe56e02
16. SHA-256 84d94c032543e8797a514323b0b8fd8bd69b4183f17351628b13d1464093af2d
17. SHA-256 6cc510a772d7718c95216eb56a84a96201241b264755f28875e685f06e95e1a2
18. SHA-256 718810b8eeb682fc70df602d952c0c83e028c5a5bfa44c506756980caf2edebb